A Apple corrigiu duas vulnerabilidades de dia zero do iOS que "podem ter sido ativamente exploradas" para invadir dispositivos antigos de iPhone, iPad e até mesmo do iPod. Esse é o nono bug de dia zero explorado este ano, corrigido pela empresa.
Os dois bugs (rastreados como CVE-2021-30761 e CVE-2021-30762 ) são causados ??por corrupção de memória e uso após problemas livres no motor do navegador WebKit (um mecanismo de renderização de navegador usado por navegadores e aplicativos da Apple para renderizar conteúdo HTML em plataformas de desktop e móveis, incluindo iOS, macOS, tvOS e iPadOS), ambos encontrados e relatados por pesquisadores anônimos.
Os invasores podem explorar as duas vulnerabilidades usando conteúdo da web criado com códigos maliciosos que acionaria a execução arbitrária de códigos depois de carregados pelos alvos em dispositivos sem patch. As vulnerabilidades atingiram dispositivos mais antigos, que incluem: iPhones (iPhone 5s, iPhone 6, iPhone 6 Plus); iPads (iPad Air, iPad mini 2, iPad mini 3) e; iPod touch (6ª geração).
Segundo levantado pelo pessoal do BleepingComputer, a empresa declarou ciência do problema. "A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente", disse a Apple ao descrever as duas vulnerabilidades do iOS 12.5.4.
Desde março, vimos um fluxo interminável de bugs de dia zero, até agora nove, aparecendo nos avisos de segurança da Apple, a maioria deles também marcados como tendo sido explorados em ataques. Todos até o momento, pelo menos, foram corrigidos.
No mês passado, a Apple corrigiu um macOS zero-day (CVE-2021-30713) usado pelo malware XCSSET para contornar as proteções TCC da Apple projetadas para proteger a privacidade de seus usuários, lembra o BleepingComputer, que também recorda que a Apple também abordou três dias zero (CVE-2021-30663, CVE-2021-30665 e CVE-2021-30666) em maio, bugs encontrados no mecanismo do Webkit que permitem a execução remota de código arbitrário (RCE) em dispositivos vulneráveis ??simplesmente visitando websites maliciosos.
A empresa também emitiu atualizações de segurança para abordar mais um dia zero para iOS (CVE-2021-1879) em março e um dia zero para iOS (CVE-2021-30661) e macOS zero-day (CVE-2021-30657) em abril, segundo dados do BleepingComputer, que revela que este último foi explorado pelo malware Shlayer para contornar as verificações de segurança da Quarentena de arquivos, Gatekeeper e Notarização da Apple.
Infelizmente até o final de 2021, talvez, ainda surjam algumas explorações de dia zero. Entretanto, esperamos que a correção das vulnerabilidades aconteçam tão logo sejam identificadas. Assim como esperamos que os usuários de produtos Apple não tenham sua segurança violada.