A Apple lançou atualizações de segurança emergenciais para aplicar patches para duas falhas zero-day ativamente exploradas em iPhones mais antigos e alguns modelos de Apple Watch e Apple TV.
"A Apple está ciente de um relatório que esse problema pode ter sido explorado contra versões do iOS antes do iOS 16.7.1", disse a empresa em orientações de segurança publicadas na segunda-feira.
As duas vulnerabilidades, agora rastreadas como
CVE-2023-42916
e
CVE-2023-42917
, foram descobertas dentro do motor do navegador WebKit, desenvolvido pela Apple e usado pelo navegador web Safari da empresa em suas plataformas (por exemplo, macOS, iOS, iPadOS).
Elas podem permitir que invasores tenham acesso a dados sensíveis e executem código arbitrário usando páginas da web maliciosamente projetadas para explorar bugs de corrupção de memória e out-of-bounds em dispositivos não atualizados.
Hoje, a Apple abordou os zero-days no iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 e watchOS 10.2 com validação de entrada aprimorada e bloqueio.
A empresa diz que os bugs também estão corrigidos na seguinte lista de dispositivos:
iPhone 8 e mais recentes, iPad Pro (todos os modelos), iPad Air de 3ª geração e posteriores, iPad de 5ª geração e posteriores, e iPad mini de 5ª geração e posteriores
Apple TV HD e Apple TV 4K (todos os modelos)
Apple Watch Series 4 e posteriores
Clément Lecigne, um pesquisador de segurança do Grupo de Análise de Ameaças (TAG) do Google, descobriu e relatou ambas vulnerabilidades zero-day.
Embora a Apple ainda não tenha fornecido detalhes sobre a exploração das vulnerabilidades em ataques, pesquisadores do Google TAG têm frequentemente identificado e divulgado informações sobre as falhas zero-day empregadas em ataques de softwares de vigilância patrocinados pelo estado visando indivíduos de alto perfil, incluindo jornalistas, figuras da oposição e dissidentes.
A CISA também ordenou as agências do ramo executivo civil federal (FCEB) na semana passada, no dia 4 de dezembro, a aplicar patches em seus dispositivos contra essas duas vulnerabilidades de segurança com base em evidências de exploração ativa.
Desde o início do ano, a Apple corrigiu 20 vulnerabilidades zero-day exploradas em ataques:
duas zero-days (
CVE-2023-42916
e
CVE-2023-42917
) em novembro
duas zero-day (
CVE-2023-42824
e
CVE-2023-5217
) em outubro
cinco zero-days (
CVE-2023-41061
,
CVE-2023-41064
,
CVE-2023-41991
,
CVE-2023-41992
e
CVE-2023-41993
) em setembro
duas zero-days (
CVE-2023-37450
e
CVE-2023-38606
) em julho
três zero-days (
CVE-2023-32434
,
CVE-2023-32435
e
CVE-2023-32439
) em junho
três outras zero-days (
CVE-2023-32409
,
CVE-2023-28204
e
CVE-2023-32373
) em maio
duas zero-days (
CVE-2023-28206
e
CVE-2023-28205
) em abril
e uma outra zero-day do WebKit (
CVE-2023-23529
) em fevereiro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...