iOS 17.4.1: Apple finalmente revela os sérios problemas de segurança corrigidos nessa versão

apple-confirma-mais-de-700-demissoes-em-breve

A Apple lançou o iOS 17.4.1 e o iPadOS 17.4.1 em 21 de março. Quando as atualizações foram lançadas, a Apple manteve silêncio sobre os problemas de segurança corrigidos pela atualização. Em sua página de suporte, a Apple não incluiu os números CVE ou Vulnerabilidades Comuns e Exploração que são usados para catalogar falhas e, em vez disso, escreveu: “Detalhes em breve”. Agora, a Apple finalmente revelou os sérios problemas de segurança corrigidos nessa versão iOS 17.4.1.

iOS 17.4.1 e as correções de problemas

Na página que anuncia as atualizações do iOS 17 .4.1 e iPadOS 17.4.1, a Apple deu a entender que as atualizações deveriam ser instaladas o mais rápido possível. A Apple escreveu a mesma coisa sobre cada versão do sistema operacional: “Esta atualização fornece importantes correções de bugs e atualizações de segurança e é recomendada para todos os usuários”.

Agora, a Apple atualizou sua página de suporte de lançamentos de segurança para incluir as falhas que a Apple teve que corrigir, mas anteriormente não mencionou. Um patch resolveu uma falha no CoreMedia, a estrutura de mídia que a Apple usa em seus dispositivos, incluindo o iPhone.

Esta falha afetou os usuários destes dispositivos: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior.

Alguém com um dos dispositivos mencionados acima tocando em uma imagem maliciosa poderia ter dado ao invasor a oportunidade de executar quaisquer comandos ou códigos no dispositivo alvo. A atualização, uma vez instalada, remove esta vulnerabilidade dos dispositivos afetados.

ios-17-4-1-apple-finalmente-revela-os-serios-problemas-de-seguranca-corrigidos-nessa-versao
Imagem: Reprodução | PhoneArena

Exploração da vulnerabilidade

A Apple não disse ter qualquer indicação de que a vulnerabilidade foi explorada. A descrição simples fornecida pela Apple era assim: “Um problema de gravação fora dos limites foi resolvido com validação de entrada aprimorada.” Dado o número de listagem CVE-2024-1580, a falha foi descoberta por Nick Galloway, do Google Project Zero.

A segunda vulnerabilidade foi uma falha no sistema que a Apple chama de WebRTC, que fornece “navegadores da web e aplicativos móveis comunicação em tempo real por meio de interfaces de programação de aplicativos”. Esta falha também afetou os mesmos dispositivos que teremos prazer em repetir: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior.

Esta vulnerabilidade, também não explorada por nenhum invasor, até onde a Apple sabe, também teria permitido que um invasor executasse quaisquer comandos ou códigos em um dispositivo alvo. A falha recebeu o número CVE CVE-2024-1580 e também foi descoberta por Nick Galloway do Google Project Zero. Se você ainda não instalou o iOS 17 .4.1, vá em Ajustes > Geral > Atualização de Software e siga as instruções.