A Apple corrige o zero-day do WebKit divulgado recentemente em iPhones mais antigos
28 de Março de 2023

A Apple lançou atualizações de segurança para corrigir falhas lançadas no mês passado, abordando um erro de dia zero ativamente explorado em iPhones e iPads mais antigos.

A vulnerabilidade ( CVE-2023-23529 ) é um problema de confusão de tipo WebKit que a empresa corrigiu em dispositivos iPhone e iPad mais novos em 13 de fevereiro de 2023.

Atacantes em potencial podem usá-lo para provocar falhas no sistema operacional e obter execução de código em dispositivos iOS e iPadOS comprometidos após a exploração bem-sucedida.

Os atores de ameaças podem então executar códigos arbitrários nos iPhones e iPads visados após enganar as vítimas para abrir páginas web maliciosas (esse erro também afeta o Safari 16.3.1 no macOS Big Sur e Monterey).

"O processamento de conteúdo web maliciosamente criado pode levar à execução de código arbitrário.

A Apple está ciente de um relatório de que este problema pode ter sido ativamente explorado", a Apple descreve o dia zero.

"A Apple está ciente de um relatório de que este problema pode ter sido ativamente explorado".

A Apple também abordou o dia zero no iOS 15.7.4 e iPadOS 15.7.4 hoje com verificações melhoradas.

A lista de dispositivos impactados inclui todos os modelos do iPhone 6s, iPhone 7, iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração).

Embora a Apple afirme estar ciente de relatórios de que essa vulnerabilidade foi explorada em ataques, a empresa ainda não publicou informações sobre esses incidentes.

No entanto, esta é a procedimento padrão da Apple ao divulgar patches de segurança para dias zero explorados.

Restringir o acesso a detalhes técnicos permite que o máximo de usuários possível protejam seus dispositivos e retarda os esforços dos atacantes para desenvolver e implantar exploits adicionais visando dispositivos vulneráveis.

Embora o dia zero CVE-2023-23529 provavelmente tenha sido usado apenas em ataques direcionados, é altamente recomendável instalar as atualizações de segurança de hoje o mais rápido possível para bloquear possíveis tentativas de ataque visando usuários de dispositivos iPhone e iPad que executam software mais antigo.

Em janeiro, a Apple também lançou patches para uma falha de dia zero explorável remotamente (relatada por Clément Lecigne do Grupo de Análise de Ameaças do Google) para iPhones e iPads mais antigos.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...