Apple corrige duas vulnerabilidades exploradas por hackers em iPhones e Macs
10 de Abril de 2023

A Apple lançou atualizações de segurança de emergência para corrigir duas novas vulnerabilidades de zero-day exploradas em ataques para comprometer iPhones, Macs e iPads.

"A Apple tem conhecimento de um relatório que indica que este problema pode ter sido explorado ativamente", disse a empresa ao descrever os problemas em avisos de segurança publicados na sexta-feira.

A primeira falha de segurança (rastreada como CVE-2023-28206 ) é uma gravação fora do limite do IOSurfaceAccelerator que pode levar à corrupção de dados, uma falha ou execução de código.

A exploração bem-sucedida permite que invasores usem um aplicativo criado maliciosamente para executar código arbitrário com privilégios de kernel em dispositivos alvo.

O segundo zero-day ( CVE-2023-28205 ) é uma fraqueza de uso após a liberação do WebKit que permite corromper dados ou executar código arbitrário ao reutilizar a memória liberada.

Essa falha pode ser explorada enganando os alvos para carregar páginas da Web maliciosas sob o controle dos invasores, o que pode levar à execução de código em sistemas comprometidos.

As duas vulnerabilidades de zero-day foram corrigidas no iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1, com melhorias na validação de entrada e gerenciamento de memória.

Apesar de a Apple afirmar que tem conhecimento de relatos de exploração em ambiente real, a empresa ainda não publicou informações sobre esses ataques.

No entanto, revelou que as duas falhas foram relatadas por Clément Lecigne, do Grupo de Análise de Ameaças do Google, e Donncha Ó Cearbhaill, do Laboratório de Segurança da Anistia Internacional, após encontrá-las exploradas em ambiente real como parte de uma cadeia de exploração.

Ambas as organizações divulgam regularmente campanhas que exploram falhas de zero-day abusadas por atores de ameaças patrocinados pelo governo para implantar spyware comercial nos smartphones e computadores de políticos, jornalistas, dissidentes e outras pessoas de alto risco em todo o mundo.

Na semana passada, o Google TAG e a Anistia Internacional expuseram duas séries recentes de ataques usando cadeias de exploração de falhas de zero-day e n-day do Android, iOS e Chrome para implantar spyware mercenário.

Embora os zero-days corrigidos hoje provavelmente tenham sido usados apenas em ataques altamente direcionados, é altamente recomendável instalar essas atualizações de emergência o mais rápido possível para bloquear possíveis tentativas de ataque.

Em fevereiro, a Apple corrigiu outro zero-day do WebKit ( CVE-2023-23529 ) explorado em ataques para desencadear falhas no sistema operacional e obter execução de código em iPhones, iPads e Macs vulneráveis.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...