A Apple lançou patches para alguns problemas de segurança encontrados em seu mecanismo de navegador Webkit que a fabricante do iPhone acredita terem sido alvos explorações de dia zero. Rastreadas como CVE-2023-42916 e CVE-2023-42917, essas vulnerabilidades podem ser exploradas durante o processamento de conteúdo da web para vazar informações confidenciais e executar códigos arbitrários, respectivamente.
“A Apple está ciente dos relatos de que os problemas pode ter sido explorados em versões do iOS anteriores ao iOS 16.7.1”, disse a Apple na nota de lançamento dos patches. As atualizações foram corrigidas para iOS, iPadOS, macOS e navegador Safari.
A Apple diz que o CVE-2023-42916 permitia a leitura de memória fora dos limites durante o processamento de conteúdo da web por meio de um Webkit afetado que poderia ser explorado para vazar informações confidenciais do navegador. O CVE-2023-42917 foi marcado como um bug de corrupção de memória que pode permitir a execução arbitrária de código.
A descoberta das falhas foi feita pela Threat Analysis Group (TAG) do Google, que não compartilhou a natureza exata das vulnerabilidades. “Para proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação tenha ocorrido e patches ou lançamentos estejam disponíveis”, disse a Apple.
Veja isso
Apple corrige três dias zero explorados para hackear iPhones
Apple prepara iPhone 14 Pro para programa de segurança de 2024
Os patches identificados como iOS 17.1.2, iPadOS 17.1.2 e Safari 17.1.2 foram lançados para uma série de dispositivos da Apple suspeitos de carregar essas vulnerabilidades. A empresa restringe navegadores de terceiros, incluindo Google Chrome, Mozilla Firefox, Microsoft Edge e outros, a usarem qualquer outro mecanismo de navegador que não seja o Webkit, o que o torna o principal alvo para invasores que procuram infectar dispositivos da empresa.
A Apple teve um ano movimentado de patches com vários bugs em seus dispositivos sendo explorados. No início de junho, a empresa corrigiu alguns dias zero de execução remota de código (RCE) que teriam sido explorados sob uma campanha de espionagem digital, a Operação Triangulação.Para ter acesso às informações sobre as atualizações de segurança da Apple, em inglês, clique aqui.