Patches de backport da Apple para CVE-2022-42856 de dia zero em iPhones e iPads mais antigos

Em dezembro de 2022, a Apple lançou atualizações de segurança para lidar com uma nova vulnerabilidade de dia zero, rastreada como CVE-2022-42856 , que é explorada ativamente em ataques contra iPhones.

A gigante de TI lançou boletins de segurança para iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 e macOS Ventura 13.1. A Apple corrigiu a vulnerabilidade com tratamento de estado aprimorado para o iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).

A falha CVE-2022-42856 é um problema de confusão de tipo que afeta o mecanismo do navegador WebKit, um invasor pode explorar o bug ao processar conteúdo especialmente criado para obter a execução arbitrária do código.

“O processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS lançadas antes do iOS 15.1.” lê o comunicado publicado pela Apple. “Um problema de confusão de tipo foi resolvido com o tratamento de estado aprimorado.”

A vulnerabilidade foi relatada por Clément Lecigne, do Grupo de Análise de Ameaças do Google. No momento, não há detalhes públicos sobre os ataques que exploram a vulnerabilidade.

Esta semana, a Apple disponibilizou as atualizações de segurança para o problema CVE-2022-42856 para iPhones e iPads mais antigos.

Para proteger dispositivos mais antigos contra ataques que exploram o problema acima, a Apple lançou o iOS 12.5.7. Os patches agora também estão disponíveis para iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração).

Em 14 de dezembro de 2022, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas e ordenou que as agências federais a abordassem até 04 de janeiro de 2022

A empresa corrigiu o bug de dia zero com tratamento de estado aprimorado para os seguintes dispositivos: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração).

Autor: Pierluigi Paganini
Fonte: https://securityaffairs.com/