A Apple lançou na segunda-feira patches de segurança para iOS, iPadOS, macOS, tvOS, watchOS e o navegador da web Safari para corrigir várias falhas de segurança, além de disponibilizar correções para dois zero-days recentemente divulgados para dispositivos mais antigos.
Isso inclui atualizações para 12 vulnerabilidades de segurança em iOS e iPadOS abrangendo AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing e WebKit.
O macOS Sonoma 14.2, por sua vez, resolve 39 problemas, incluindo seis bugs que afetam a biblioteca ncurses.
Dentre as falhas, destaca-se a CVE-2023-45866, um problema de segurança crítico que poderia permitir a um invasor em uma posição privilegiada na rede injetar teclas fingindo ser um teclado.
A vulnerabilidade foi divulgada pelo pesquisador de segurança da SkySafe, Marc Newlin, na semana passada.
Ela foi corrigida no iOS 17.2, iPadOS 17.2 e macOS Sonoma 14.2 com verificações aprimoradas, informou o fabricante do iPhone.
A Apple também lançou o Safari 17.2, contendo correções para duas falhas do WebKit – CVE-2023-42890 e CVE-2023-42883 – que poderiam levar à execução arbitrária de código e a uma condição de negação de serviço (DoS).
A atualização está disponível para Macs rodando macOS Monterey e macOS Ventura.
O iOS 17.2 e o iPadOS 17.2, além de corrigir um bug do Siri que poderia permitir a um adversário com acesso físico obter dados sensíveis, incluem uma atualização de segurança na forma da verificação de chaves de contato, que garante a privacidade das conversas no iMessage, permitindo que os usuários verifiquem os contatos com os quais estão se comunicando.
"A verificação de chaves de contato do iMessage avança o estado da arte das implementações de transparência de chaves, fazendo com que os próprios dispositivos dos usuários verifiquem provas de consistência e garantam a consistência do sistema de KT em todos os dispositivos do usuário para uma conta", observou a Apple em um explicativo técnico em outubro de 2023.
"Essas melhorias protegem contra comprometimento do diretório de chaves, bem como comprometimento do serviço de transparência em si e podem detectar visões divididas apresentadas por ambos os serviços."
Coincidindo com as atualizações, a Apple também lançou o iOS 16.7.3 e o iPadOS 16.7.3 para encerrar até oito problemas de segurança, dois dos quais se referem ao WebKit (
CVE-2023-42916
e
CVE-2023-42917
) e foram divulgados pela Redmond como tendo sido explorados ativamente pelo wild no início deste mês.
Ambas as vulnerabilidades também foram corrigidas no tvOS 17.2 e watchOS 10.2.
Ainda não estão disponíveis detalhes adicionais sobre a natureza da exploração e os atores da ameaça que podem estar utilizando-os.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...