A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA adicionou uma falha de alta gravidade que afeta iOS, iPadOS, macOS, tvOS e watchOS ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
A vulnerabilidade, rastreada como CVE-2022-48618 (pontuação CVSS: 7.8), diz respeito a um bug no componente do kernel. “Um atacante com capacidade de leitura e escrita arbitrária pode ser capaz de contornar a Autenticação de Ponteiro”, disse a Apple em um aviso, acrescentando que o problema “pode ter sido explorado contra versões do iOS lançadas antes do iOS 15.7.1.” A fabricante do iPhone afirmou que o problema foi resolvido com verificações aprimoradas.
Atualmente, não se sabe como a vulnerabilidade está sendo armamentizada em ataques no mundo real. Curiosamente, os patches para a falha foram lançados em 13 de dezembro de 2022, com o lançamento do iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 e watchOS 9.2, embora tenha sido divulgado publicamente mais de um ano depois, em 9 de janeiro de 2024.
Vale ressaltar que a Apple resolveu uma falha semelhante no kernel (CVE-2022-32844, pontuação CVSS: 6.3) no iOS 15.6 e iPadOS 15.6, que foi lançado em 20 de julho de 2022. “Um aplicativo com capacidade arbitrária de leitura e escrita do kernel pode ser capaz de contornar a Autenticação de Ponteiro”, disse a empresa na época.