A Apple lançou na quinta-feira atualizações de segurança de emergência para iOS, iPadOS, macOS e watchOS para resolver duas falhas zero-day que foram exploradas para fornecer o spyware mercenário Pegasus do Grupo NSO.
Os problemas são descritos como a seguir:
CVE-2023-41061
- Um problema de validação na Carteira que pode resultar na execução de código arbitrário ao lidar com um anexo maliciosamente criado.
CVE-2023-41064
- Uma questão de transbordamento de buffer no componente Image I/O que pode resultar na execução de código arbitrário ao processar uma imagem maliciosamente criada.
Enquanto o
CVE-2023-41064
foi encontrado pelo Citizen Lab na Munk School da Universidade de Toronto, o
CVE-2023-41061
foi descoberto internamente pela Apple, com "assistência" do Citizen Lab.
As atualizações estão disponíveis para os seguintes dispositivos e sistemas operacionais:
iOS 16.6.1 e iPadOS 16.6.1 - iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air 3ª geração e posterior, iPad 5ª geração e posterior, e iPad mini 5ª geração e posterior
macOS Ventura 13.5.2 - dispositivos macOS rodando macOS Ventura
watchOS 9.6.2 - Apple Watch Series 4 e posterior
Em outro alerta, O Citizen Lab revelou que as duas falhas foram usadas como parte de uma cadeia de exploração iMessage de zero clique chamada BLASTPASS para implantar o Pegasus em iPhones totalmente atualizados rodando iOS 16.6.
"O cycle de exploração foi capaz de comprometer iPhones rodando a última versão do iOS (16.6) sem nenhuma interação da vítima", disse o laboratório interdisciplinar.
"O exploit envolveu anexos PassKit contendo imagens maliciosas enviadas de uma conta iMessage do invasor para a vítima."
Especificidades técnicas adicionais sobre as deficiências foram mantidas em sigilo por causa da exploração ativa.
Dito isto, o exploit teria como alvo o framework de proteção BlastDoor da Apple.
Esse último achado mostra uma vez mais que a sociedade civil é alvo de explorações altamente sofisticadas e spywares mercenários", disse o Citizen Lab, acrescentando que esses problemas foram descobertos na semana passada durante a revisão do dispositivo de um indivíduo não identificado que trabalha para uma organização da sociedade civil baseada em Washington D.C..
Até agora, a Apple corrigiu um total de 13 falhas zero-day em seus softwares desde o início do ano.
As postagens de notícias dos zero-days vieram enquanto acredita-se que o governo chinês tenha proibido a utilização de iPhones e outros dispositivos estrangeiros por oficiais do governo central e estadual em uma tentativa de reduzir a dependência de tecnologia estrangeira, tudo isso em meio à crescente guerra comercial entre a China e os EUA.
"O verdadeiro motivo [para a proibição] é: cibersegurança (surpresa surpresa)", disse Zuk Avraham, pesquisador de segurança e fundador da Zimperium, em uma postagem no X (antes, Twitter).
"iPhones têm a imagem de ser o telefone mais seguro...
mas na realidade, os iPhones não são nada seguros contra uma simples espionagem".
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...