Falhas de zero dia têm sido bem comuns e empresas como a Apple têm trabalhado bastante para resolvê-las. Como agora, por exemplo, que a Apple abordou duas vulnerabilidades de dia zero, exploradas por agentes de ameaças, afetando dispositivos iOS, iPadOS e macOS.
Vulnerabilidades corrigidas pela Apple
As vulnerabilidades foram abordadas com as atualizações de segurança lançadas pela Apple esta semana, para plataformas iOS, iPadOS e macOS para resolver duas vulnerabilidades de dia zero exploradas por agentes de ameaças.
Apesar de lançar as atualizações de segurança, a Apple não compartilhou detalhes sobre esses ataques.
As falhas de dia zero
A primeira falha foi rastreada como CVE-2022-32893, um problema fora dos limites no WebKit que um invasor pode acionar a falha enganando os dispositivos de destino para que processem conteúdo da Web criado com códigos maliciosos para obter a execução de código arbitrário. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.
A segunda vulnerabilidade foi rastreada como CVE-2022-32894, um problema fora dos limites no kernel do sistema operacional que pode ser explorado por um aplicativo malicioso para executar código arbitrário com os privilégios mais altos.
As correções lançadas pela Apple
As vulnerabilidades foram corrigidas com a versão iOS 15.6.1, iPadOS 15.6.1 e macOS Monterey 12.5.1. As atualizações do iOS e iPadOS estão disponíveis para iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).
A Apple resolveu ambas as vulnerabilidades com verificação de limites aprimorada. As vulnerabilidades que poderiam fazer um estrago quando exploradas, com as atualizações não podem mais ser utilizadas para fins obscuros.
Lembramos apenas que, você precisa atualizar os seus dispositivos para que fique livre dessas vulnerabilidades de uma vez por todas. Caso ainda não tenha realizado as atualizações, é recomendado que você faça isso agora mesmo.
A Apple abordou outras seis vulnerabilidades de dia zero desde janeiro, abaixo está a lista de problemas corrigidos:
Janeiro de 2022: CVE-2022-22587 e CVE-2022-22594;
Fevereiro de 2022: CVE-2022-22620;
Março de 2022: CVE-2022-22674 e CVE-2022-22675;
Maio de 2022: CVE-2022-22675.
Esperamos que novas falhas não surjam com tanta frequência, para que possamos nos sentir seguros ao usar nossos dispositivos no dia a dia. Não esqueça de manter seus dispositivos sempre atualizados, dessa forma, as chances de você ser atacado por uma falha de segurança, são reduzidas drasticamente.
