A Apple lançou atualizações de segurança de emergência para resolver três novas vulnerabilidades de zero dia. As vulnerabilidades foram rastreadas como CVE-2023-41993, CVE-2023-41991 e CVE-2023-41992, e foram exploradas em ataques selvagens.
Apple corrige falhas de zero dia com novas atualizações
As três falhas foram descobertas por Bill Marczak, do Citizen Lab da Munk School da Universidade de Toronto, e Maddie Stone, do Threat Analysis Group do Google. As duas equipes de pesquisa já descobriram vários zero dias explorados ativamente em produtos Apple que foram explorados em ataques direcionados contra indivíduos de alto perfil, como políticos da oposição, dissidentes e jornalistas.
A vulnerabilidade rastreada como CVE-2023-41993 é um problema de execução de código arbitrário que reside no Webkit. Um invasor pode desencadear a falha induzindo a vítima a visitar conteúdo da web especialmente criado que pode levar à execução arbitrária de código. A gigante de TI resolveu a falha com verificações aprimoradas.
Já a segunda falha de zero dia, rastreada como CVE-2023-41991, reside na estrutura de segurança. Um invasor pode explorar essa vulnerabilidade para ignorar a validação de assinatura usando aplicativos maliciosos. A empresa corrigiu a vulnerabilidade corrigindo um problema de validação de certificado.
O terceiro zero dia, rastreado como CVE-2023-41992, reside no Kernel Framework. Um invasor local pode acionar as falhas para elevar seus privilégios. A Apple corrigiu a falha com verificações aprimoradas.
De acordo com a Apple, a empresa está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7. A empresa corrigiu as três vulnerabilidades de dia zero com o lançamento do macOS 12.7/ 13.6, iOS 16.7/ 17.0.1, iPadOS 16.7/ 17.0.1 e watchOS 9.6.3/10.0.1.
Dispositivos elegíveis para a atualização
As correções estão disponíveis para iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior, iPad mini 5ª geração e posteriores.
A Apple já corrigiu 16 vulnerabilidades de dia zero exploradas ativamente em 2023, abaixo está a lista das falhas corrigidas pela empresa:
Setembro de 2023: CVE-2023-41064 e CVE-2023-41061.
Julho de 2023: CVE-2023-37450 e CVE-2023-38606.
Junho de 2023: CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439.
Maio de 2023: CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373).
Abril de 2023: CVE-2023-28206 e CVE-2023-28205.
Fevereiro de 2023: CVE-2023-23529.