Atualizações emergenciais da Apple corrigem zero-days recentes em iPhones mais antigos
12 de Dezembro de 2023

A Apple lançou atualizações de segurança emergenciais para aplicar patches para duas falhas zero-day ativamente exploradas em iPhones mais antigos e alguns modelos de Apple Watch e Apple TV.

"A Apple está ciente de um relatório que esse problema pode ter sido explorado contra versões do iOS antes do iOS 16.7.1", disse a empresa em orientações de segurança publicadas na segunda-feira.

As duas vulnerabilidades, agora rastreadas como CVE-2023-42916 e CVE-2023-42917 , foram descobertas dentro do motor do navegador WebKit, desenvolvido pela Apple e usado pelo navegador web Safari da empresa em suas plataformas (por exemplo, macOS, iOS, iPadOS).

Elas podem permitir que invasores tenham acesso a dados sensíveis e executem código arbitrário usando páginas da web maliciosamente projetadas para explorar bugs de corrupção de memória e out-of-bounds em dispositivos não atualizados.

Hoje, a Apple abordou os zero-days no iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 e watchOS 10.2 com validação de entrada aprimorada e bloqueio.

A empresa diz que os bugs também estão corrigidos na seguinte lista de dispositivos:

iPhone 8 e mais recentes, iPad Pro (todos os modelos), iPad Air de 3ª geração e posteriores, iPad de 5ª geração e posteriores, e iPad mini de 5ª geração e posteriores
Apple TV HD e Apple TV 4K (todos os modelos)
Apple Watch Series 4 e posteriores

Clément Lecigne, um pesquisador de segurança do Grupo de Análise de Ameaças (TAG) do Google, descobriu e relatou ambas vulnerabilidades zero-day.

Embora a Apple ainda não tenha fornecido detalhes sobre a exploração das vulnerabilidades em ataques, pesquisadores do Google TAG têm frequentemente identificado e divulgado informações sobre as falhas zero-day empregadas em ataques de softwares de vigilância patrocinados pelo estado visando indivíduos de alto perfil, incluindo jornalistas, figuras da oposição e dissidentes.

A CISA também ordenou as agências do ramo executivo civil federal (FCEB) na semana passada, no dia 4 de dezembro, a aplicar patches em seus dispositivos contra essas duas vulnerabilidades de segurança com base em evidências de exploração ativa.

Desde o início do ano, a Apple corrigiu 20 vulnerabilidades zero-day exploradas em ataques:
duas zero-days ( CVE-2023-42916 e CVE-2023-42917 ) em novembro
duas zero-day ( CVE-2023-42824 e CVE-2023-5217 ) em outubro
cinco zero-days ( CVE-2023-41061 , CVE-2023-41064 , CVE-2023-41991 , CVE-2023-41992 e CVE-2023-41993 ) em setembro
duas zero-days ( CVE-2023-37450 e CVE-2023-38606 ) em julho
três zero-days ( CVE-2023-32434 , CVE-2023-32435 e CVE-2023-32439 ) em junho
três outras zero-days ( CVE-2023-32409 , CVE-2023-28204 e CVE-2023-32373 ) em maio
duas zero-days ( CVE-2023-28206 e CVE-2023-28205 ) em abril
e uma outra zero-day do WebKit ( CVE-2023-23529 ) em fevereiro.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...