Apple corrige vulnerabilidades do iOS exploradas em ataques a iPhones

Imagem com a logomarca da Apple em zona vermelha

A Apple lançou atualizações de segurança de emergência para corrigir duas vulnerabilidades de zero dia do iOS que foram exploradas em ataques a iPhones. Há uma nova versão do iOS 17 disponível para os usuários do iPhone, que devem instalá-la o mais rápido possível.

Vulnerabilidades corrigidas no iOS

“A Apple está ciente de um relatório de que esse problema pode ter sido explorado”, disse a empresa em comunicado divulgado na terça-feira. Os dois bugs foram encontrados no kernel do iOS (CVE-2024-23225) e no RTKit (CVE-2024-23296), ambos permitindo que invasores com recursos arbitrários de leitura e gravação do kernel contornem as proteções de memória do kernel.

A empresa afirma que corrigiu as falhas de segurança para dispositivos executando iOS 17.4, iPadOS 17.4, iOS 16.76 e iPad 16.7.6 com validação de entrada aprimorada. A lista de dispositivos Apple afetados é bastante extensa e inclui:

  • iPhone XS e posterior, iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5ª geração, iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas de 1ª geração;
  • iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior.
apple-corrige-dois-novos-dias-zero-do-ios-explorados-em-ataques-a-iphones

A Apple não divulgou quem divulgou os dois zero dias ou se eles foram descobertos internamente. No entanto, embora a empresa não tenha divulgado informações sobre a exploração contínua, as vulnerabilidades de zero dia do iOS são comumente usadas em ataques de spyware patrocinados pelo Estado contra indivíduos de alto risco, como jornalistas, políticos da oposição e dissidentes.

Embora essas vulnerabilidades de dia zero provavelmente tenham sido usadas apenas em ataques direcionados, é altamente recomendável instalar as atualizações de segurança atuais o mais rápido possível para bloquear possíveis tentativas de ataque. Com essas duas vulnerabilidades, a Apple corrigiu três dias zero até agora em 2024, sendo o primeiro em janeiro.

No ano passado, a empresa corrigiu um total de 20 falhas de dia zero exploradas à solta, incluindo:

  • dois zero dias (CVE-2023-42916 e CVE-2023-42917) em novembro;
  • dois zero dias (CVE-2023-42824 e CVE-2023-5217) em outubro;
  • cinco zero dias (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) em setembro;
  • dois zero dias (CVE-2023-37450 e CVE-2023-38606) em julho;
  • três zero dias (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho;
  • mais três zero dias (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio;
  • dois zero dias (CVE-2023-28206 e CVE-2023-28205) em abril;
  • e outro zero dia do WebKit (CVE-2023-23529) em fevereiro.