A Apple corrigiu duas vulnerabilidades de dia zero do iOS que “podem ter sido ativamente exploradas” para invadir dispositivos antigos de iPhone, iPad e até mesmo do iPod. Esse é o nono bug de dia zero explorado este ano, corrigido pela empresa.
Os dois bugs (rastreados como CVE-2021-30761 e CVE-2021-30762 ) são causados ??por corrupção de memória e uso após problemas livres no motor do navegador WebKit (um mecanismo de renderização de navegador usado por navegadores e aplicativos da Apple para renderizar conteúdo HTML em plataformas de desktop e móveis, incluindo iOS, macOS, tvOS e iPadOS), ambos encontrados e relatados por pesquisadores anônimos.
Os invasores podem explorar as duas vulnerabilidades usando conteúdo da web criado com códigos maliciosos que acionaria a execução arbitrária de códigos depois de carregados pelos alvos em dispositivos sem patch. As vulnerabilidades atingiram dispositivos mais antigos, que incluem: iPhones (iPhone 5s, iPhone 6, iPhone 6 Plus); iPads (iPad Air, iPad mini 2, iPad mini 3) e; iPod touch (6ª geração).
Segundo levantado pelo pessoal do BleepingComputer, a empresa declarou ciência do problema. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”, disse a Apple ao descrever as duas vulnerabilidades do iOS 12.5.4.
Fluxo constante de exploração de dia zero da Apple
Desde março, vimos um fluxo interminável de bugs de dia zero, até agora nove, aparecendo nos avisos de segurança da Apple, a maioria deles também marcados como tendo sido explorados em ataques. Todos até o momento, pelo menos, foram corrigidos.
No mês passado, a Apple corrigiu um macOS zero-day (CVE-2021-30713) usado pelo malware XCSSET para contornar as proteções TCC da Apple projetadas para proteger a privacidade de seus usuários, lembra o BleepingComputer, que também recorda que a Apple também abordou três dias zero (CVE-2021-30663, CVE-2021-30665 e CVE-2021-30666) em maio, bugs encontrados no mecanismo do Webkit que permitem a execução remota de código arbitrário (RCE) em dispositivos vulneráveis ??simplesmente visitando websites maliciosos.
A empresa também emitiu atualizações de segurança para abordar mais um dia zero para iOS (CVE-2021-1879) em março e um dia zero para iOS (CVE-2021-30661) e macOS zero-day (CVE-2021-30657) em abril, segundo dados do BleepingComputer, que revela que este último foi explorado pelo malware Shlayer para contornar as verificações de segurança da Quarentena de arquivos, Gatekeeper e Notarização da Apple.
Infelizmente até o final de 2021, talvez, ainda surjam algumas explorações de dia zero. Entretanto, esperamos que a correção das vulnerabilidades aconteçam tão logo sejam identificadas. Assim como esperamos que os usuários de produtos Apple não tenham sua segurança violada.