Apple confirma que as atualizações de segurança do WebKit quebrou a navegação em alguns sites
12 de Julho de 2023

A Apple confirmou hoje que as atualizações de segurança emergenciais lançadas na segunda-feira para resolver um bug zero-day explorado em ataques também afetam a navegação em alguns sites.

Novas atualizações serão lançadas em breve para resolver esse problema conhecido, diz a empresa.

Embora a Apple não tenha explicado por que os sites afetados foram impedidos de renderizar corretamente, isso teria ocorrido depois que a detecção de agente do usuário de alguns serviços (ou seja, Zoom, Facebook e Instagram) foi interrompida e causou erros na exibição dos sites no Safari em aparelhos corrigidos.

Por exemplo, após aplicar as atualizações RSR em um dispositivo iOS, o novo agente de usuário contendo uma string "(a)" é “Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1", o que impede que os sites o detectem como uma versão válida do Safari, exibindo assim mensagens de erro de navegador não suportado.

"A Apple está ciente de um problema em que Respostas Rápidas de Segurança recentes podem impedir que alguns sites sejam exibidos corretamente", diz a empresa em um documento de suporte divulgado na terça-feira.

"As Respostas Rápidas de Segurança iOS 16.5.1 (b), iPadOS 16.5.1 (b) e macOS 13.4.1 (b) estarão disponíveis em breve para resolver este problema."

A empresa aconselha os clientes que já aplicaram as atualizações de segurança problemáticas a removê-las se estiverem tendo problemas ao navegar na web.

Em dispositivos iPhone ou iPad, você pode fazer isso tocando em 'Remover Resposta de Segurança' e depois tocando em 'Remover' para confirmar em Configurações > Sobre > Versão iOS.

Usuários de Mac podem remover as atualizações RSR abrindo o menu e clicando em Mais Informações em 'Sobre este Mac'. Uma vez lá, você tem que clicar no botão Informações (i) ao lado do número da versão sob macOS e então clicar em 'Remover' e 'Reiniciar.'

​A falha zero-day (rastreada como CVE-2023-37450 ) foi encontrada no motor de navegador WebKit da Apple, e permite que os atacantes ganhem execução de código arbitrário induzindo os alvos a abrirem páginas da web contendo conteúdo maliciosamente criado.

"A Apple está ciente de um relatório de que este problema pode ter sido explorado ativamente", disse a empresa em avisos de iOS e macOS descrevendo a vulnerabilidade CVE-2023-37450 corrigida nas atualizações de segurança emergenciais de ontem.

"Esta Resposta Rápida de Segurança fornece correções de segurança importantes e é recomendada para todos os usuários", a Apple advertiu clientes em dispositivos que as correções RSR foram entregues.

Desde o início do ano, a Apple corrigiu um total de dez falhas zero-day exploradas em iPhones, Macs ou iPads.

Por exemplo, no início deste mês, a Apple corrigiu três vulnerabilidades zero-day ( CVE-2023-32434 , CVE-2023-32435 e CVE-2023-32439 ) exploradas em ataques para instalar spyware Triangulation em iPhones via exploits zero-click no iMessage.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...