A Apple lançou atualizações de segurança para corrigir falhas lançadas no mês passado, abordando um erro de dia zero ativamente explorado em iPhones e iPads mais antigos.
A vulnerabilidade (
CVE-2023-23529
) é um problema de confusão de tipo WebKit que a empresa corrigiu em dispositivos iPhone e iPad mais novos em 13 de fevereiro de 2023.
Atacantes em potencial podem usá-lo para provocar falhas no sistema operacional e obter execução de código em dispositivos iOS e iPadOS comprometidos após a exploração bem-sucedida.
Os atores de ameaças podem então executar códigos arbitrários nos iPhones e iPads visados após enganar as vítimas para abrir páginas web maliciosas (esse erro também afeta o Safari 16.3.1 no macOS Big Sur e Monterey).
"O processamento de conteúdo web maliciosamente criado pode levar à execução de código arbitrário.
A Apple está ciente de um relatório de que este problema pode ter sido ativamente explorado", a Apple descreve o dia zero.
"A Apple está ciente de um relatório de que este problema pode ter sido ativamente explorado".
A Apple também abordou o dia zero no iOS 15.7.4 e iPadOS 15.7.4 hoje com verificações melhoradas.
A lista de dispositivos impactados inclui todos os modelos do iPhone 6s, iPhone 7, iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração).
Embora a Apple afirme estar ciente de relatórios de que essa vulnerabilidade foi explorada em ataques, a empresa ainda não publicou informações sobre esses incidentes.
No entanto, esta é a procedimento padrão da Apple ao divulgar patches de segurança para dias zero explorados.
Restringir o acesso a detalhes técnicos permite que o máximo de usuários possível protejam seus dispositivos e retarda os esforços dos atacantes para desenvolver e implantar exploits adicionais visando dispositivos vulneráveis.
Embora o dia zero
CVE-2023-23529
provavelmente tenha sido usado apenas em ataques direcionados, é altamente recomendável instalar as atualizações de segurança de hoje o mais rápido possível para bloquear possíveis tentativas de ataque visando usuários de dispositivos iPhone e iPad que executam software mais antigo.
Em janeiro, a Apple também lançou patches para uma falha de dia zero explorável remotamente (relatada por Clément Lecigne do Grupo de Análise de Ameaças do Google) para iPhones e iPads mais antigos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...