Actualizaciones de seguridad para vulnerabilidades Zero-Day en Apple

Apple ha publicado actualizaciones de seguridad para 2 (dos) vulnerabilidades Zero-Day en sus productos, MacOS e iOS y advirtió que atacantes podrían explotar estos errores para realizar escalamiento de privilegios o ejecución remota de código (RCE).

Las vulnerabilidades reportadas son CVE-2022-22587 de severidad “Alta” y CVE-2022-22594 de severidad “Media”, las cuales se detallan a continuación:

• CVE-2022-22587 de severidad alta, con una puntuación temporal de 7.2. Esta vulnerabilidad es debida a un fallo en una función desconocida en el componente IOMobileFrameBuffer, ocasionando así un desbordamiento de búfer. Un atacante podría aprovechar esta situación y realizar ejecución remota de código (RCE) en los sistemas operativos MacOS, iOS e iPadOS.
• CVE-2022-22594 de severidad media, con una puntuación temporal de 4.1. Esta vulnerabilidad se debe a un fallo en una función desconocida del componente WebKit Storage, a través de un input desconocido. Un atacante podría realizar escalamiento de privilegios en los sistemas operativos iOS e iPadOS.

Estas vulnerabilidades afectan a MacOS en sus versiones anteriores a la 12.2 y en iOS e iPadOS en sus versiones anteriores a la 15.3.

Recomendamos instalar las actualizaciones correspondientes provistas por Apple, siguiendo los pasos descritos en las siguientes guías:

• iOS y iPadOS: https://support.apple.com/es-es/HT204204
• MacOS: https://support.apple.com/es-es/HT201541

Referencias:

• https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-exploited-to-hack-macos-ios-devices/
• https://support.apple.com/en-us/HT213053
• https://vuldb.com/es/?id.191715
• https://vuldb.com/es/?id.191738