La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) incluyó el miércoles una vulnerabilidad de alta gravedad que afecta a iOS, iPadOS, macOS, tvOS y watchOS en su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en pruebas de una explotación activa.
La vulnerabilidad, identificada como CVE-2022-48618 (puntuación CVSS: 7,8), se relaciona con un error en el componente del kernel.
“Un atacante con capacidad de lectura y escritura arbitraria puede eludir la autenticación de puntero”, señaló Apple en un aviso, añadiendo que el problema “puede haber sido aprovechado en versiones de iOS lanzadas antes de iOS 15.7.1”.
Apple informó que la vulnerabilidad fue abordada mediante controles mejorados. Actualmente, no se tiene información sobre cómo la vulnerabilidad está siendo aprovechada en ataques del mundo real.
De manera interesante, los parches para esta falla se lanzaron el 13 de diciembre de 2022, con la introducción de iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 y watchOS 9.2. Sin embargo, la divulgación pública de la vulnerabilidad tuvo lugar más de un año después, el 9 de enero de 2024.
Es importante señalar que Apple ya había abordado una vulnerabilidad similar en el kernel (CVE-2022-32844, puntuación CVSS: 6.3) en iOS 15.6 y iPadOS 15.6, lanzados el 20 de julio de 2022.
“Una aplicación con capacidad arbitraria de lectura y escritura del kernel puede eludir la autenticación de puntero”, explicó la compañía en ese momento. “Se resolvió un problema lógico mediante una mejor gestión del estado”.
A la vista de la explotación activa de CVE-2022-48618, CISA recomienda que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 21 de febrero de 2024.
Este desarrollo también coincide con la ampliación de los parches por parte de Apple para abordar una vulnerabilidad explotada activamente en el motor del navegador WebKit (CVE-2024-23222, puntuación CVSS: 8.8), que ahora se incluyen en los auriculares Apple Vision Pro con la solución disponible en visionOS 1.0.2.