Apple corrige mais vulnerabilidades do iOS em atualizações de emergência

apple-ultrapassa-os-smartphones-samsung-na-europa

A Apple acaba de lançar atualizações de segurança de emergência para corrigir duas vulnerabilidades de zero dia exploradas em ataques e impactando dispositivos iPhone, iPad e Mac. Com essas correções, a Apple atingindo 20 dias zero corrigidos desde o início do ano.

Apple corrige vulnerabilidades

“A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS anteriores ao iOS 16.7.1”, disse a empresa em um comunicado divulgado na quarta-feira. As duas falhas foram encontrados no mecanismo do navegador WebKit (CVE-2023-42916 e CVE-2023-42917), permitindo que invasores obtivessem acesso a informações confidenciais por meio de uma fraqueza de leitura fora dos limites e obtivessem execução arbitrária de código por meio de corrupção de memória em dispositivos vulneráveis por meio de páginas da web criadas com códigos maliciosos.

De acordo com a Apple, falhas de segurança foram corrigidas para dispositivos que executam iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 e Safari 17.1.2 com validação e bloqueio de entrada aprimorados. Então, atualize o seu dispositivo quanto antes.

apple-corrige-mais-vulnerabilidades-do-ios-em-atualizacoes-de-emergencia

A lista de dispositivos Apple afetados é bastante extensa e inclui:

  • iPhone XS e posterior;
  • iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior;
  • Macs executando macOS Monterey, Ventura, Sonoma.

O pesquisador de segurança Clément Lecigne, do Threat Analysis Group (TAG) do Google, encontrou e relatou ambos os dias zero. Embora a Apple não tenha divulgado informações sobre a exploração contínua, os pesquisadores do Google TAG frequentemente encontraram e divulgaram dias zero usados em ataques de spyware patrocinados pelo Estado contra indivíduos de alto risco, como jornalistas, políticos da oposição e dissidentes.

20 zero dias explorados na natureza em 2023

CVE-2023-42916 e CVE-2023-42917 são as 19ª e 20ª vulnerabilidades de dia zero exploradas em ataques que a Apple corrigiu este ano. O Google TAG divulgou outro bug de zero dia (CVE-2023-42824) no kernel XNU, permitindo que invasores aumentem privilégios em iPhones e iPads vulneráveis.

A Apple corrigiu recentemente mais três bugs de dia zero (CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) relatados por pesquisadores do Citizen Lab e do Google TAG e explorados por agentes de ameaças para implantar spyware Predator.

O Citizen Lab divulgou dois outros dias zero (CVE-2023-41061 e CVE-2023-41064), corrigidos pela Apple em setembro e usados como parte de uma cadeia de exploração de clique zero (chamada BLASTPASS) para instalar o spyware Pegasus do Grupo NSO.

Desde o início do ano, a Apple também corrigiu:

  • dois zero dias (CVE-2023-37450 e CVE-2023-38606) em julho;
  • três zero dias (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho;
  • mais três zero dias (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio;
  • dois zero dias (CVE-2023-28206 e CVE-2023-28205) em abril;
  • e outro zero dia do WebKit (CVE-2023-23529) em fevereiro.