Só em 2022, a Apple já corrigiu oito vulnerabilidades de zero dia. A oitava foi corrigida na última atualização de segurança que trata da vulnerabilidade de dia zero usada em ataques contra iPhones e Macs desde o início do ano.
A empresa emitiu avisos de segurança ontem, onde revelou que está ciente de relatórios dizendo que a falha de segurança, agora corrigida, “pode ??ter sido ativamente explorada”.
Vulnerabilidade de dia zero corrigida no iOS
A falha, rastreada como CVE-2022-32917, pode permitir que aplicativos criados com códigos maliciosos executem código arbitrário com privilégios de kernel, possibilitando hack do iPhone e também de Macs.
Essa vulnerabilidade foi relatada à Apple por um pesquisador anônimo, sendo abordada no iOS 15.7 e iPadOS 15.7, macOS Monterey 12.6 e macOS Big Sur 11.7 com verificações de limites aprimoradas. Abaixo, você encontra a lista completa de dispositivos afetados pela falha de segurança.
Lista de dispositivos afetados
De acordo com a Apple, os dispositivos afetados pela vulnerabilidade de zero dia incluem: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração e Macs executando macOS Big Sur 11.7 e macOS Monterey 12.6.
A Apple também fez backport de patches para outro dia zero (CVE-2022-32894) para Macs executando o macOS Big Sur 11.7 depois de lançar atualizações de segurança adicionais em 31 de agosto para corrigir o mesmo bug nas versões do iOS executadas em iPhones e iPads mais antigos.
Corrija seus iPhones e Macs para bloquear ataques
Embora a Apple tenha divulgado a exploração ativa dessa vulnerabilidade de zero dia, a empresa ainda não divulgou nenhuma informação sobre esses ataques. Inclusive, ao se recusar a divulgar essas informações, a Apple provavelmente deseja permitir que o maior número possível de clientes corrija seus dispositivos antes que outros invasores desenvolvam suas próprias explorações e comecem a implantá-las em ataques direcionados a iPhones e Macs vulneráveis, aponta o Bleeping Computer.
O site aponta que essa vulnerabilidade provavelmente deve ter sido usada apenas em ataques altamente direcionados. No entanto, a instalação dessas atualizações de segurança o mais rápido possível ainda é fortemente recomendada para bloquear tentativas de ataque.
Este é o oitavo dia zero fixado pela Apple desde o início do ano: Em agosto, ele corrigiu duas vulnerabilidades de zero dia no kernel do iOS. Em março, foram corrigidos dois bugs de dia zero no Intel Graphics Driver. Em fevereiro, a Apple lançou atualizações de segurança para corrigir outro bug de dia zero do WebKit explorado em ataques contra iPhones, iPads e Macs. E, em janeiro, corrigiu dois outros dias zero explorados que permitiram a execução de código com privilégios de kernel e rastreamento de atividade de navegação na web.