A Apple lançou atualizações de segurança emergenciais para corrigir duas vulnerabilidades de zero-day que foram exploradas em ataques a sistemas Mac baseados em Intel.
"A Apple tem conhecimento de um relatório que indica que esta questão pode ter sido explorada," disse a empresa em um comunicado emitido na terça-feira(19).
Os dois bugs foram encontrados nos componentes JavaScriptCore (
CVE-2024-44308
) e WebKit (
CVE-2024-44309
) do macOS Sequoia.
A falha
CVE-2024-44308
no JavaScriptCore permite que atacantes realizem execução remota de código por meio de conteúdo web criado de forma maliciosa.
A outra falha,
CVE-2024-44309
, permite ataques de cross-site scripting (CSS).
A empresa informou que resolveu as falhas de segurança no macOS Sequoia 15.1.1.
Como os mesmos componentes são encontrados em outros sistemas operacionais da Apple, a correção também foi aplicada no iOS 17.7.2 e iPadOS 17.7.2, iOS 18.1.1 e iPadOS 18.1.1, e visionOS 2.1.1.
Embora a Apple tenha dito que ambas as falhas foram descobertas por Clément Lecigne e Benoît Sevens do Grupo de Análise de Ameaças do Google, a empresa não forneceu mais detalhes sobre como elas foram exploradas.
Com essas duas vulnerabilidades, a Apple corrigiu seis zero-days até agora em 2024, com o primeiro em janeiro, dois em março e o quarto em maio.
Este número é significativamente melhor do que o do ano passado, quando a Apple corrigiu um total de 20 falhas de zero-day exploradas na natureza, incluindo:
- dois zero-days (
CVE-2023-42916
e
CVE-2023-42917
) em novembro
- dois zero-days (
CVE-2023-42824
e
CVE-2023-5217
) em outubro
- cinco zero-days (
CVE-2023-41061
,
CVE-2023-41064
,
CVE-2023-41991
,
CVE-2023-41992
e
CVE-2023-41993
) em setembro
- dois zero-days (
CVE-2023-37450
e
CVE-2023-38606
) em julho
- três zero-days (
CVE-2023-32434
,
CVE-2023-32435
e
CVE-2023-32439
) em junho
- mais três zero-days (
CVE-2023-32409
,
CVE-2023-28204
e
CVE-2023-32373
) em maio
- dois zero-days (
CVE-2023-28206
e
CVE-2023-28205
) em abril
- e outro zero-day no WebKit (
CVE-2023-23529
) em fevereiro
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...