Apple lança atualização de emergência para corrigir zero-day explorado em ataques
11 de Julho de 2023

A Apple emitiu uma nova rodada de atualizações de Resposta Rápida de Segurança (RRS) para tratar de um novo bug zero-day explorado em ataques e que afetam iPhones, Macs e iPads totalmente atualizados.

"A Apple está ciente de um relatório que esta questão pode ter sido ativamente explorada", diz a empresa em avisos do iOS e macOS ao descrever a vulnerabilidade CVE-2023-37450 relatada por um pesquisador de segurança anônimo.

"Esta Resposta Rápida de Segurança fornece correções de segurança importantes e é recomendada para todos os usuários", alerta a Apple nos sistemas onde as correções da RRS estão sendo entregues.

Correções RRS foram introduzidas como atualizações compactas projetadas para lidar com problemas de segurança no iPhone, iPad e Mac, e servem para solucionar problemas de segurança que surgem entre as principais atualizações de software, de acordo com este documento de suporte.
Além disso, algumas atualizações de segurança urgentes também podem ser empregadas para combater vulnerabilidades de segurança ativamente exploradas em ataques.

Se você desligar as atualizações automáticas ou não instalar as Respostas Rápidas de Segurança quando oferecidas, seu dispositivo será atualizado como parte das futuras atualizações de software.

A falha foi encontrada no motor de navegador WebKit desenvolvido pela Apple, e ela permite que os invasores obtenham execução de código arbitrária em dispositivos-alvo, enganando os alvos para abrir páginas da web contendo conteúdo maliciosamente elaborado.

A empresa abordou esta fraqueza de segurança com verificações aprimoradas para mitigar tentativas de exploração.

Desde o início de 2023, a Apple corrigiu dez falhas zero-day exploradas em iPhones, Macs ou iPads.

No início deste mês, a Apple tratou de três zero-days ( CVE-2023-32434 , CVE-2023-32435 e CVE-2023-32439 ) exploradas para implantar spyware Triangulation em iPhones via explorações de zero clique no iMessage.

Também corrigiu mais três zero-days ( CVE-2023-32409 , CVE-2023-28204 e CVE-2023-32373 ) em maio, o primeiro relatado pelo Laboratório Internacional de Segurança da Anistia e pelos pesquisadores do Grupo de Análise de Ameaças do Google e provavelmente usado para instalar spyware.

Em abril, a Apple corrigiu outros dois zero-days ( CVE-2023-28206 e CVE-2023-28205 ) usados como parte das cadeias de exploração de falhas zero-day e n-day do Android, iOS e Chrome para implantar spyware em dispositivos de alvos de alto risco.

Em fevereiro, a Apple corrigiu outro zero-day do WebKit ( CVE-2023-23529 ) explorado para ganhar execução de código em iPhones, iPads e Macs vulneráveis.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...