Apple Lança Correção para Crítico Zero-Day em iPhones, Macs - Atualize Agora
23 de Janeiro de 2024

A Apple liberou na segunda-feira atualizações de segurança para iOS, iPadOS, macOS, tvOS e o navegador web Safari para resolver uma falha de zero-day que tem sido explorada ativamente.

A questão, rastreada como CVE-2024-23222 , é um bug de confusão de tipo no motor de navegador WebKit que poderia ser explorado por um ator de ameaça para conseguir a execução arbitrária de código quando processa conteúdo da web maliciosamente criado.

A gigante da tecnologia disse que o problema foi corrigido com verificações melhoradas.

As vulnerabilidades de confusão de tipo, em geral, poderiam ser usadas para realizar acesso à memória fora dos limites, ou levar a uma falha e execução arbitrária de código.

Em um comunicado sucinto, a Apple admitiu estar "ciente de um relatório de que essa questão pode ter sido explorada", mas não compartilhou nenhum outro detalhe específico sobre a natureza dos ataques ou os atores de ameaças aproveitando a falha.

As atualizações estão disponíveis para os seguintes dispositivos e sistemas operacionais:

iOS 17.3 e iPadOS 17.3 - iPhone XS e posteriores, iPad Pro 12.9 polegadas 2ª geração e posteriores, iPad Pro 10.5 polegadas, iPad Pro 11 polegadas 1ª geração e posteriores, iPad Air 3ª geração e posteriores, iPad 6ª geração e posteriores, e iPad mini 5ª geração e posteriores

iOS 16.7.5 e iPadOS 16.7.5 - iPhone 8, iPhone 8 Plus, iPhone X, iPad 5ª geração, iPad Pro 9.7 polegadas e iPad Pro 12.9 polegadas 1ª geração

macOS Sonoma 14.3 - Macs rodando macOS Sonoma

macOS Ventura 13.6.4 - Macs rodando macOS Ventura

macOS Monterey 12.7.3 - Macs rodando macOS Monterey

tvOS 17.3 - Apple TV HD e Apple TV 4K (todos os modelos)

Safari 17.3 - Macs rodando macOS Monterey e macOS Ventura

Essa atualização marca a primeira vulnerabilidade de zero-day explorada ativamente a ser corrigida pela Apple este ano.

No ano passado, a fabricante do iPhone corrigiu 20 vulnerabilidades de zero-day que foram usadas em ataques reais.

Além disso, a Apple retroagiu as correções para CVE-2023-42916 e CVE-2023-42917 - patches que foram lançados pela primeira vez em dezembro de 2023 - para dispositivos mais antigos:

iOS 15.8.1 e iPadOS 15.8.1 - iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração)

A divulgação também segue um relatório em que as autoridades chinesas revelaram que usaram vulnerabilidades anteriormente conhecidas na funcionalidade AirDrop da Apple para ajudar a polícia a identificar remetentes de conteúdo inadequado, usando uma técnica baseada em tabelas arco-íris.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...