A Apple lançou atualizações de segurança de emergência para corrigir duas novas vulnerabilidades de zero-day exploradas em ataques para comprometer iPhones, Macs e iPads.
"A Apple tem conhecimento de um relatório que indica que este problema pode ter sido explorado ativamente", disse a empresa ao descrever os problemas em avisos de segurança publicados na sexta-feira.
A primeira falha de segurança (rastreada como
CVE-2023-28206
) é uma gravação fora do limite do IOSurfaceAccelerator que pode levar à corrupção de dados, uma falha ou execução de código.
A exploração bem-sucedida permite que invasores usem um aplicativo criado maliciosamente para executar código arbitrário com privilégios de kernel em dispositivos alvo.
O segundo zero-day (
CVE-2023-28205
) é uma fraqueza de uso após a liberação do WebKit que permite corromper dados ou executar código arbitrário ao reutilizar a memória liberada.
Essa falha pode ser explorada enganando os alvos para carregar páginas da Web maliciosas sob o controle dos invasores, o que pode levar à execução de código em sistemas comprometidos.
As duas vulnerabilidades de zero-day foram corrigidas no iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1, com melhorias na validação de entrada e gerenciamento de memória.
Apesar de a Apple afirmar que tem conhecimento de relatos de exploração em ambiente real, a empresa ainda não publicou informações sobre esses ataques.
No entanto, revelou que as duas falhas foram relatadas por Clément Lecigne, do Grupo de Análise de Ameaças do Google, e Donncha Ó Cearbhaill, do Laboratório de Segurança da Anistia Internacional, após encontrá-las exploradas em ambiente real como parte de uma cadeia de exploração.
Ambas as organizações divulgam regularmente campanhas que exploram falhas de zero-day abusadas por atores de ameaças patrocinados pelo governo para implantar spyware comercial nos smartphones e computadores de políticos, jornalistas, dissidentes e outras pessoas de alto risco em todo o mundo.
Na semana passada, o Google TAG e a Anistia Internacional expuseram duas séries recentes de ataques usando cadeias de exploração de falhas de zero-day e n-day do Android, iOS e Chrome para implantar spyware mercenário.
Embora os zero-days corrigidos hoje provavelmente tenham sido usados apenas em ataques altamente direcionados, é altamente recomendável instalar essas atualizações de emergência o mais rápido possível para bloquear possíveis tentativas de ataque.
Em fevereiro, a Apple corrigiu outro zero-day do WebKit (
CVE-2023-23529
) explorado em ataques para desencadear falhas no sistema operacional e obter execução de código em iPhones, iPads e Macs vulneráveis.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...