A Apple liberou na segunda-feira atualizações de segurança para iOS, iPadOS, macOS, tvOS e o navegador web Safari para resolver uma falha de zero-day que tem sido explorada ativamente.
A questão, rastreada como
CVE-2024-23222
, é um bug de confusão de tipo no motor de navegador WebKit que poderia ser explorado por um ator de ameaça para conseguir a execução arbitrária de código quando processa conteúdo da web maliciosamente criado.
A gigante da tecnologia disse que o problema foi corrigido com verificações melhoradas.
As vulnerabilidades de confusão de tipo, em geral, poderiam ser usadas para realizar acesso à memória fora dos limites, ou levar a uma falha e execução arbitrária de código.
Em um comunicado sucinto, a Apple admitiu estar "ciente de um relatório de que essa questão pode ter sido explorada", mas não compartilhou nenhum outro detalhe específico sobre a natureza dos ataques ou os atores de ameaças aproveitando a falha.
As atualizações estão disponíveis para os seguintes dispositivos e sistemas operacionais:
iOS 17.3 e iPadOS 17.3 - iPhone XS e posteriores, iPad Pro 12.9 polegadas 2ª geração e posteriores, iPad Pro 10.5 polegadas, iPad Pro 11 polegadas 1ª geração e posteriores, iPad Air 3ª geração e posteriores, iPad 6ª geração e posteriores, e iPad mini 5ª geração e posteriores
iOS 16.7.5 e iPadOS 16.7.5 - iPhone 8, iPhone 8 Plus, iPhone X, iPad 5ª geração, iPad Pro 9.7 polegadas e iPad Pro 12.9 polegadas 1ª geração
macOS Sonoma 14.3 - Macs rodando macOS Sonoma
macOS Ventura 13.6.4 - Macs rodando macOS Ventura
macOS Monterey 12.7.3 - Macs rodando macOS Monterey
tvOS 17.3 - Apple TV HD e Apple TV 4K (todos os modelos)
Safari 17.3 - Macs rodando macOS Monterey e macOS Ventura
Essa atualização marca a primeira vulnerabilidade de zero-day explorada ativamente a ser corrigida pela Apple este ano.
No ano passado, a fabricante do iPhone corrigiu 20 vulnerabilidades de zero-day que foram usadas em ataques reais.
Além disso, a Apple retroagiu as correções para
CVE-2023-42916
e
CVE-2023-42917
- patches que foram lançados pela primeira vez em dezembro de 2023 - para dispositivos mais antigos:
iOS 15.8.1 e iPadOS 15.8.1 - iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração)
A divulgação também segue um relatório em que as autoridades chinesas revelaram que usaram vulnerabilidades anteriormente conhecidas na funcionalidade AirDrop da Apple para ajudar a polícia a identificar remetentes de conteúdo inadequado, usando uma técnica baseada em tabelas arco-íris.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...