Ontem, a Apple lançou atualizações de segurança que corrigem duas vulnerabilidades de dia zero do iOS exploradas ativamente no mecanismo Webkit usado por hackers para atacar iPhones, iPads, iPods, macOS e dispositivos Apple Watch. “A Apple tem conhecimento de um relatório que esta questão pode ter sido ativamente explorada,” disse a companhia em vários alertas de segurança publicadas ontem.
O Webkit é o mecanismo de renderização do navegador da Apple que deve ser usado por todos os navegadores móveis no iOS e outros aplicativos que renderizam HTML, como Apple Mail e App Store. E, é através dele que as vulnerabilidades aconteceram.
Essas vulnerabilidades foram rastreadas como CVE-2021-30665 e CVE-2021-30663, e ambas permitem a execução remota de código arbitrário (RCE) em dispositivos vulneráveis ??simplesmente visitando um site malicioso. As vulnerabilidades do RCE são consideradas as mais perigosas, pois permitem que os invasores visem dispositivos vulneráveis ??e executem comandos neles remotamente.
De acordo com o BleepingComputer, a vulnerabilidade CVE-2021-30665 foi descoberta por Yang Kang, zerokeeper e Bian Liang da Qihoo 360 ATA, enquanto CVE-2021-30663 foi relatada à Apple por um pesquisador que deseja permanecer anônimo.
A lista de dispositivos afetados inclui:
- iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad de 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração);
- macOS Big Sur;
- Apple Watch Series 3 e posterior;
Os dias zero foram resolvidos pela Apple ainda ontem nas atualizações do iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1 e watchOS 7.4.1. Além disso, esta atualização também resolveu um bug que impedia os usuários de verem solicitações de Transparência de rastreamento de aplicativos dentro dos aplicativos.
Atualização do iOS corrige as vulnerabilidades
“Esta atualização corrige um problema com a Transparência de rastreamento de aplicativos, em que alguns usuários que desabilitaram a opção Permitir que aplicativos solicitem rastreamento nas configurações podem não receber solicitações de aplicativos após reativá-la”, afirmou a Apple em suas notas de lançamento do iOS 14.5.1.
A Apple tem lidado com um fluxo de vulnerabilidades de dia zero exploradas ativamente nos últimos meses, com uma corrigida no macOS no mês passado e várias outras vulnerabilidades do iOS corrigidas nos meses anteriores. A empresa tem corrido contra o tempo para entregar correções rápidas e evitar maiores problemas.
A atualização 14.5 do iOS abriu a porta para as vulnerabilidades. A Apple já corrigiu o problema e lançou a atualização 14.5.1. As atualizações já estão disponíveis nos dispositivos Apple. Assim, vá até as atualizações do sistema e as instale agora mesmo, para garantir que você não terá seu dispositivo invadido por hackers.
Via: BleeppingComputer