Apple ha publicado actualizaciones de seguridad para subsanar dos vulnerabilidades de día cero (0-day) en sus productos iPhone, iPad y Mac, que permitirían a las aplicaciones realizar ejecución remota de código (RCE) con privilegios de kernel.
Las vulnerabilidades reportadas son: CVE-2022-22675 y CVE-2022-22674. Las cuales se detallan a continuación:
- CVE-2022-22675 sin una criticidad, ni puntuación asignada aún. Esta vulnerabilidad se debe a un problema de escritura fuera de los límites en el decodificador de medios AppleAVD, que permitiría a las aplicaciones realizar ejecución remota de código (RCE) con privilegios de kernel.
- CVE-2022-22674 sin una criticidad, ni puntuación asignada aún. Esta vulnerabilidad se debe a un problema de escritura fuera de los límites en el controlador de gráficos Intel que permitiría a las aplicaciones leer la memoria del kernel, provocando la divulgación de la misma.
Los dispositivos afectados en Apple son:
- Macs con macOS Monterey.
- iPhone 6s y posterior.
- iPad Pro (todos los modelos), iPad Air 2 y posterior, iPad 5ª generación y posterior, iPad mini 4 y posterior, y iPod touch (7ª generación).
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Nota: Los errores fueron corregidos por Apple en iOS 15.4.1, iPadOS 15.4.1 y macOS Monterey 12.3.1, con validación de entrada mejorada y verificación de límites.
Referencias: