Apple Lança Correção Urgentes para Falha Zero-Day que Afetam iPhones, iPads e Macs
25 de Julho de 2023

A Apple lançou atualizações de segurança para iOS, iPadOS, macOS, tvOS, watchOS e Safari para resolver várias vulnerabilidades de segurança, incluindo um bug de zero-day ativamente explorado.

Rastreado como CVE-2023-38606 , a falha reside no kernel e permite que um aplicativo mal-intencionado possa modificar o estado sensível do kernel potencialmente.

A empresa disse que a questão foi resolvida com uma gestão de estado melhorada.

"A Apple está ciente de um relatório de que essa questão pode ter sido ativamente explorada contra versões do iOS lançadas antes do iOS 15.7.1", observou a gigante da tecnologia em seu comunicado.

Vale a pena notar que o CVE-2023-38606 é a terceira vulnerabilidade de segurança descoberta em conexão com a Operation Triangulation, uma sofisticada campanha de espionagem cibernética móvel que visa dispositivos iOS desde 2019 usando uma cadeia de exploração de zero-clique.

Os outros dois zero-days, CVE-2023-32434 e CVE-2023-32435 , foram corrigidos pela Apple no último mês.

Os pesquisadores da Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko e Boris Larin foram creditados por descobrir e relatar a falha.

As atualizações estão disponíveis para os seguintes dispositivos e sistemas operacionais:
- iOS 16.6 e iPadOS 16.6 - iPhone 8 e posteriores, iPad Pro (todos os modelos), iPad Air de 3ª geração e posteriores, iPad de 5ª geração e posteriores, e iPad mini de 5ª geração e posteriores
- iOS 15.7.8 e iPadOS 15.7.8 - iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração)
- macOS Ventura 13.5, macOS Monterey 12.6.8 e macOS Big Sur 11.7.9
- tvOS 16.6 - Apple TV 4K (todos os modelos) e Apple TV HD
- watchOS 9.6 - Apple Watch Series 4 e posteriores

Com o último lote de patches, a Apple resolveu um total de 11 zero-days que impactam seu software desde o início de 2023.

Isso também ocorre duas semanas após a empresa publicar correções de emergência para um bug de execução de código remoto no WebKit que poderia levar à execução arbitrária de código ( CVE-2023-37450 ).

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...