Apple

Apple corrige mais vulnerabilidades do iOS em atualizações de emergência

Dois novos zero dias foram corrigidos pela Apple.

Jardeson Márcio
apple-ultrapassa-os-smartphones-samsung-na-europa

A Apple acaba de lançar atualizações de segurança de emergência para corrigir duas vulnerabilidades de zero dia exploradas em ataques e impactando dispositivos iPhone, iPad e Mac. Com essas correções, a Apple atingindo 20 dias zero corrigidos desde o início do ano.

Tabela de conteúdo
Apple corrige vulnerabilidadesA lista de dispositivos Apple afetados é bastante extensa e inclui:20 zero dias explorados na natureza em 2023

Apple corrige vulnerabilidades

“A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS anteriores ao iOS 16.7.1”, disse a empresa em um comunicado divulgado na quarta-feira. As duas falhas foram encontrados no mecanismo do navegador WebKit (CVE-2023-42916 e CVE-2023-42917), permitindo que invasores obtivessem acesso a informações confidenciais por meio de uma fraqueza de leitura fora dos limites e obtivessem execução arbitrária de código por meio de corrupção de memória em dispositivos vulneráveis por meio de páginas da web criadas com códigos maliciosos.

De acordo com a Apple, falhas de segurança foram corrigidas para dispositivos que executam iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 e Safari 17.1.2 com validação e bloqueio de entrada aprimorados. Então, atualize o seu dispositivo quanto antes.

A lista de dispositivos Apple afetados é bastante extensa e inclui:

  • iPhone XS e posterior;
  • iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior;
  • Macs executando macOS Monterey, Ventura, Sonoma.

O pesquisador de segurança Clément Lecigne, do Threat Analysis Group (TAG) do Google, encontrou e relatou ambos os dias zero. Embora a Apple não tenha divulgado informações sobre a exploração contínua, os pesquisadores do Google TAG frequentemente encontraram e divulgaram dias zero usados em ataques de spyware patrocinados pelo Estado contra indivíduos de alto risco, como jornalistas, políticos da oposição e dissidentes.

20 zero dias explorados na natureza em 2023

CVE-2023-42916 e CVE-2023-42917 são as 19ª e 20ª vulnerabilidades de dia zero exploradas em ataques que a Apple corrigiu este ano. O Google TAG divulgou outro bug de zero dia (CVE-2023-42824) no kernel XNU, permitindo que invasores aumentem privilégios em iPhones e iPads vulneráveis.

A Apple corrigiu recentemente mais três bugs de dia zero (CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) relatados por pesquisadores do Citizen Lab e do Google TAG e explorados por agentes de ameaças para implantar spyware Predator.

O Citizen Lab divulgou dois outros dias zero (CVE-2023-41061 e CVE-2023-41064), corrigidos pela Apple em setembro e usados como parte de uma cadeia de exploração de clique zero (chamada BLASTPASS) para instalar o spyware Pegasus do Grupo NSO.

Desde o início do ano, a Apple também corrigiu:

  • dois zero dias (CVE-2023-37450 e CVE-2023-38606) em julho;
  • três zero dias (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho;
  • mais três zero dias (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio;
  • dois zero dias (CVE-2023-28206 e CVE-2023-28205) em abril;
  • e outro zero dia do WebKit (CVE-2023-23529) em fevereiro.
TAGGED:
Share This Article
Por Jardeson Márcio
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.
Sair da versão mobile