A Apple lançou atualizações de segurança de emergência para corrigir uma nova falha de segurança de zero-day explorada em ataques direcionados a usuários de iPhone e iPad.
"A Apple está ciente de um relatório que esta questão pode ter sido explorada ativamente contra versões do iOS antes do iOS 16.6", disse a empresa em um aviso emitido na quarta-feira.
O zero-day (
CVE-2023-42824
) é causado por uma fraqueza descoberta no kernel XNU que permite aos atacantes locais ampliar privilégios em iPhones e iPads não atualizados.
Enquanto a Apple disse que abordou a questão de segurança no iOS 17.0.3 e no iPadOS 17.0.3 com checagens melhoradas, ainda não revelou quem encontrou e relatou a falha.
A lista de dispositivos impactados é bastante extensa, e inclui:
iPhone XS e posteriores iPad Pro 12.9 polegadas 2ª geração e posteriores, iPad Pro 10.5 polegadas, iPad Pro 11 polegadas 1ª geração e posteriores, iPad Air 3ª geração e posteriores, iPad 6ª geração e posteriores, e iPad mini 5ª geração e posteriores.
A Apple também abordou um zero-day rastreado como
CVE-2023-5217
e causado por uma fraqueza de estouro de buffer de heap na codificação VP8 da biblioteca de codec de vídeo de código aberto libvpx, que poderia permitir a execução de código arbitrário após a exploração bem-sucedida.
O bug libvpx havia sido corrigido anteriormente pelo Google no navegador Chrome e pela Microsoft em seus produtos Edge, Teams e Skype.
O
CVE-2023-5217
foi descoberto pelo pesquisador de segurança Clément Lecigne, que faz parte do Google's Threat Analysis Group (TAG), um time de especialistas em segurança conhecido por encontrar frequentemente zero-days abusadas em ataques de spyware apoiados pelo governo visando indivíduos de alto risco.
O
CVE-2023-42824
é o 17º zero-day explorado em ataques que a Apple já corrigiu desde o início do ano.
A Apple também corrigiu recentemente três outros bugs de zero-day (
CVE-2023-41991
,
CVE-2023-41992
e
CVE-2023-41993
) relatados pelo Citizen Lab e pesquisadores do Google TAG e explorados em ataques de spyware para instalar o spyware Predator da Cytrox.
O Citizen Lab divulgou dois outros zero-days (
CVE-2023-41061
e
CVE-2023-41064
) corrigidos pela Apple no mês passado abusados como parte de uma cadeia de exploração de zero-clique (apelidada de BLASTPASS) para infectar iPhones totalmente atualizados com o spyware Pegasus do Grupo NSO.
Desde janeiro de 2023, a Apple abordou um total de 17 zero-days explorados para visar iPhones e Macs, incluindo:
dois zero-days (
CVE-2023-37450
e
CVE-2023-38606
) em julho
três zero-days (
CVE-2023-32434
,
CVE-2023-32435
e
CVE-2023-32439
) em junho
mais três zero-days (
CVE-2023-32409
,
CVE-2023-28204
e
CVE-2023-32373
) em maio
dois zero-days (
CVE-2023-28206
e
CVE-2023-28205
) em abril
e mais um zero-day WebKit (
CVE-2023-23529
) em fevereiro.
O lançamento do iOS 17.0.3 de hoje também resolve um problema conhecido que faz com que iPhones rodando iOS 17.0.2 e inferiores superaqueçam.
"Esta atualização fornece correções de bugs importantes, atualizações de segurança e aborda um problema que pode fazer o iPhone funcionar mais quente do que o esperado", disse a Apple.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...