Apple corrige uma nova vulnerabilidade explorada para hackear iPhones, iPads e Macs

Google paga mais de 31 mil dólares para quem achar bugs em programas de código aberto
Google paga mais de 31 mil dólares para quem achar bugs em programas de código aberto

A Apple acaba de lançar atualizações para seus sistemas operacionais iOS, iPadOS e macOS. Nessas atualizações, a empresa corrigiu uma nova vulnerabilidade de zero dia explorada por invasores para hackear iPhones, iPads e Macs.

Vulnerabilidade corrigida

A vulnerabilidade de zero dia corrigido foi é rastreado como CVE-2022-22620 e é um problema do WebKit Use After Free que pode levar a falhas no sistema operacional e execução de código em dispositivos comprometidos.

A exploração bem-sucedida desse bug permite que os invasores executem código arbitrário em iPhones e iPads que executam versões vulneráveis ??de iOS e iPadOS depois de processar conteúdo da Web criado com códigos maliciosos.

“A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”, disse a empresa ao descrever o problema. A empresa abordou o CVE-2022-22620 com gerenciamento de memória aprimorado no iOS 15.3.1, iPadOS 15.3.1 e macOS Monterey 12.2.1.

apple-corrige-uma-nova-vulnerabilidade-explorada-para-hackear-iphones-ipads-e-macs

Lista de dispositivos afetados

A lista completa de dispositivos afetados é bastante extensa, pois o bug afeta modelos mais antigos e mais recentes e inclui: iPhone 6s e posterior; iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração); Macs executando o macOS Monterey.

Embora esse zero dia provavelmente tenha sido usado apenas em ataques direcionados, ainda é altamente recomendável instalar as atualizações o mais rápido possível para bloquear possíveis tentativas de ataque.

Terceiro zero dia corrigido este ano pela Apple

Em janeiro, a Apple corrigiu dois outros zero dias explorados em estado selvagem que poderiam permitir que os agentes de ameaças obtivessem a execução arbitrária de código com privilégios de kernel (CVE-2022-22587) e rastreassem a atividade de navegação e as identidades dos usuários em tempo real (CVE-2022 -22594).

Esses dois primeiros zero dias afetaram iPhones (iPhone 6s e superior), Macs executando o macOS Monterey e vários modelos de iPads. Embora a Apple tenha corrigido apenas três zero dias desde o início de 2022, a empresa teve que lidar com um fluxo quase interminável de zero dias explorados para atingir dispositivos iOS, iPadOS e macOS, lembra o BleepingComputer.

A lista inclui várias falhas de dia zero usadas para instalar o spyware Pegasus da NSO em iPhones pertencentes a jornalistas, ativistas e políticos.

Esse novo zero dia foi corrigido e uma atualização foi lançada com o iOS 15.3.1. Se você ainda não atualizou o seu dispositivo, faça isso o mais rápido possível!

Via: BleepingComputer