Hace unos días, Apple anunció la corrección de dos vulnerabilidades explotadas activamente en macOS Monterey, aunque los usuarios de versiones antiguas del sistema operativo no recibirán actualizaciones. Las fallas fueron identificadas como CVE-2022-22675 y CVE-2022-22674, y residen en implementaciones macOS Big Sur y macOS Catalina, respectivamente.
MacOS Monterey fue lanzado en octubre de 2021 y es la versión más reciente del sistema operativo. Apple decidió no responder a las solicitudes para explicar por qué han optado por dejar las instalaciones antiguas de macOS sin actualizaciones para mitigar estos riesgos de seguridad.
A diferencia de Microsoft y su Política de Ciclo de Vida de Windows, Apple detalla las fechas de obsolescencia del hardware, pero no ofrece ningún compromiso por escrito para cubrir las diferentes iteraciones del sistema macOS. Se espera que el soporte para macOS Catalina concluya a finales de este año, mientras que Big Sur podría llegar al final de su vida útil en noviembre de 2023. Estimaciones señalan que entre el 35% y 40% de los dispositivos Mac usados actualmente podrían verse expuestos a estas fallas.
Sobre las fallas, CVE-2022-22675 es descrita como un error de escritura fuera de los límites cuya explotación permitiría a los actores de amenazas ejecutar código arbitrario con privilegios de kernel. Por otra parte, CVE-2022-22674 es una falla en Intel Graphics en Big Sur (y potencialmente en Catalina) que permitiría acceso a la memoria del kernel.
Joshua Long, de la firma de seguridad Intego, cree que es casi seguro que la falla afecte a ambas versiones del sistema operativo: “Tenemos confianza en que CVE-2022-22674 probablemente afecte tanto a macOS Big Sur como a macOS Catalina, ya que casi todas las vulnerabilidades en el componente Intel Graphics Driver detectadas recientemente impactan a todas las versiones de macOS”.
El investigador añadió que hay docenas de otras vulnerabilidades en Big Sur y Catalina que no se están explotando activamente, pero su presencia representa un riesgo potencial: “Apple tiene un historial desafortunado de dejar implementaciones macOS desprotegidas contra algunos ataques explotados activamente, en lo que algunos conocen como un escenario de vulnerabilidad día cero perpetua”.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
