A Apple lançou atualizações de software para iOS, iPadOS, macOS e o navegador Safari para corrigir duas falhas de segurança que, segundo ela, estão sendo ativamente exploradas amplamente em versões mais antigas de seu software.
As vulnerabilidades, ambas localizadas no mecanismo de navegador da web WebKit, são descritas abaixo.
- CVE-2023-42916 – Um problema de leitura fora dos limites que pode ser explorado para vazar informações sensíveis ao processar conteúdo da web.
- CVE-2023-42917 – Um bug de corrupção de memória que pode resultar na execução arbitrária de código ao processar conteúdo da web.
A Apple afirmou estar ciente de relatos que exploram as falhas “em versões do iOS anteriores ao iOS 16.7.1”, que foi lançado em 10 de outubro de 2023. Clément Lecigne, do Grupo de Análise de Ameaças (TAG) da Google, foi creditado por descobrir e relatar as duas falhas.
A fabricante do iPhone não forneceu informações adicionais sobre a exploração em andamento, mas vulnerabilidades anteriormente divulgadas no iOS têm sido usadas para distribuir spyware mercenário direcionado a pessoas de alto risco, como ativistas, dissidentes, jornalistas e políticos.
É importante destacar que todos os navegadores da web de terceiros disponíveis para iOS e iPadOS, incluindo Google Chrome, Mozilla Firefox, Microsoft Edge e outros, são alimentados pelo motor de renderização WebKit devido às restrições impostas pela Apple, tornando-o uma superfície de ataque lucrativa e ampla.
As atualizações estão disponíveis para os seguintes dispositivos e sistemas operacionais:
- iOS 17.1.2 e iPadOS 17.1.2 – iPhone XS e modelos posteriores, iPad Pro 12.9 polegadas 2ª geração e modelos posteriores, iPad Pro 10.5 polegadas, iPad Pro 11 polegadas 1ª geração e modelos posteriores, iPad Air 3ª geração e modelos posteriores, iPad 6ª geração e modelos posteriores, e iPad mini 5ª geração e modelos posteriores.
- macOS Sonoma 14.1.2 – Macs executando o macOS Sonoma.
- Safari 17.1.2 – Macs executando macOS Monterey e macOS Ventura.
Com as últimas correções de segurança, a Apple remediou até 19 zero-days ativamente explorados desde o início de 2023.
Isso também ocorre dias após o Google enviar correções para uma falha de alta gravidade no Chrome (CVE-2023-6345) que também foi alvo de ataques do mundo real, tornando-se o sétimo zero-day corrigido pela empresa este ano.
Achou esse artigo interessante? Subscreva ao nossa newsletter ou siga-nos em nossas redes sociais para receber mais conteúdos sobre segurança.
Receba as últimas atualizações diretamente no seu celular através do nosso canal no WhatsApp. Clique aqui para se conectar agora.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
