A Apple lançou atualizações de segurança emergenciais para corrigir três novas vulnerabilidades de zero-day exploradas em ataques direcionados a usuários de iPhone e Mac, totalizando 16 zero-day corrigidos este ano.
Dois bugs foram encontrados no motor de navegador WebKit (
CVE-2023-41993
) e no framework de segurança (
CVE-2023-41991
), permitindo que os invasores contornassem a validação de assinatura usando aplicativos maliciosos ou ganhassem a execução de código arbitrário por meio de páginas da web maliciosamente elaboradas.
O terceiro foi encontrado no Kernel Framework, que fornece APIs e suporte para extensões de kernel e drivers de dispositivos residentes no kernel.
Atacantes locais podem explorar essa falha (
CVE-2023-41992
) para escalar privilégios.
A Apple corrigiu os três bugs de zero-day no macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 e watchOS 9.6.3/10.0.1 abordando um problema de validação de certificado e por meio de verificações aprimoradas.
"A Apple tem conhecimento de um relatório que esse problema pode ter sido ativamente explorado contra versões do iOS anteriores ao iOS 16.7", revelou a empresa em avisos de segurança descrevendo as falhas de segurança.
A lista de dispositivos impactados compreende modelos de dispositivos mais antigos e mais novos, e inclui:
iPhone 8 e posteriores
iPad mini 5ª geração e posteriores
Macs rodando macOS Monterey e mais recentes
Apple Watch Series 4 e posteriores
Todos os três zero-days foram encontrados e relatados por Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Análise de Ameaças do Google.
Embora a Apple ainda não tenha fornecido detalhes adicionais sobre a exploração das falhas na natureza, os pesquisadores de segurança do Citizen Lab e do Google Threat Analysis Group costumam divulgar bugs de zero-days que são abusados em ataques de spyware direcionados a indivíduos de alto risco, incluindo jornalistas, políticos de oposição e dissidentes.
O Citizen Lab divulgou outros dois zero-days (
CVE-2023-41061
e
CVE-2023-41064
), também corrigidos pela Apple em atualizações de segurança de emergência no início deste mês e usados como parte de uma cadeia de exploits de zero clique (dublada BLASTPASS) para infectar iPhones totalmente corrigidos com o spyware comercial Pegasus do NSO Group.
Desde o início do ano, a Apple também corrigiu:
dois zero-days (
CVE-2023-37450
e
CVE-2023-38606
) em julho
três zero-days (
CVE-2023-32434
,
CVE-2023-32435
e
CVE-2023-32439
) em junho
mais zero-days (
CVE-2023-32409
,
CVE-2023-28204
e
CVE-2023-32373
) em maio
dois zero-days (
CVE-2023-28206
e
CVE-2023-28205
) em abril
e outro zero-day do WebKit (
CVE-2023-23529
) em fevereiro
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...