A Apple lançou atualizações de segurança para iPhones mais antigos para corrigir uma vulnerabilidade zero-day rastreada como
CVE-2023-41064
, que estava sendo ativamente explorada para infectar dispositivos iOS com o spyware Pegasus da NSO.
CVE-2023-31064
é uma falha de execução de código remoto que é explorada ao enviar imagens maliciosamente criadas via iMessage.
Conforme relatado pelo Citizen Lab no início deste mês,
CVE-2023-31064
e uma segunda falha rastreada como
CVE-2023-41061
foram usadas como uma cadeia de ataque zero-click, apelidada de BLASTPASS, que envolve o envio de imagens especialmente criadas em anexos do iMessage PassKit para instalar spyware.
Quando os telefones recebiam e processavam o anexo, instalavam o spyware Pegasus da NSO, mesmo em dispositivos iOS completamente atualizados (16.6).
A Apple lançou correções para as duas falhas com o macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2, e a CISA publicou um alerta exigindo que as agências federais corrijam até 2 de outubro de 2023.
As atualizações de segurança agora foram portadas para o iOS 15.7.9 e iPadOS 15.7.9, macOS Monterey 12.6.9 e macOS Big Sur 11.7.10 para prevenir o uso desta cadeia de ataque nesses dispositivos.
Vale a pena notar que o suporte para o iOS 15 terminou um ano atrás, em setembro de 2022, enquanto o fornecedor ainda oferece suporte para Monterey e Big Sur.
As atualizações de segurança cobrem todos os modelos do iPhone 6s, o iPhone 7, a primeira geração do iPhone SE, o iPad Air 2, a quarta geração do iPad mini e a sétima geração do iPod touch.
Embora nenhum ataque tenha sido observado em computadores macOS, a falha é teoricamente explorável também lá, então a aplicação das atualizações de segurança é altamente recomendada.
Desde o início do ano, a Apple corrigiu um total de 13 zeros-dias explorados para atingir dispositivos rodando iOS, macOS, iPadOS e watchOS, incluindo:
Dois zeros-dia (
CVE-2023-37450
e
CVE-2023-38606
) em julho
Três zeros-dia (
CVE-2023-32434
,
CVE-2023-32435
e
CVE-2023-32439
) em junho
Mais três zeros-dia (
CVE-2023-32409
,
CVE-2023-28204
e
CVE-2023-32373
) em maio
Dois zeros-dia (
CVE-2023-28206
e
CVE-2023-28205
) em abril
Um zero-dia do WebKit (
CVE-2023-23529
) em fevereiro.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...