A Apple anunciou na semana passada que suas últimas atualizações de sistemas operacionais corrigem três novas vulnerabilidades de dia zero. Com base no trabalho de empresas que fazem relatos de falhas, as falhas provavelmente foram exploradas por um fornecedor de spyware comercial.
Os zero-days foram rastreados como CVE-2023-41991, que permite que um malware ignore a verificação de assinatura; CVE-2023-41992, uma falha de kernel que permite que um invasor local eleve privilégios; e CVE-2023-41993, um bug do WebKit que pode ser explorado para execução arbitrária de código, atraindo o usuário de destino para uma página da web mal-intencionada.
A Apple corrigiu algumas ou todas essas vulnerabilidades no Safari, iOS e iPadOS (incluindo as versões 16 e 17), macOS, (incluindo Ventura e Monterey) e watchOS. Mas, embora cada um desses sistemas operacionais seja afetado pelos zero-days, a Apple disse que só está ciente da exploração ativa visando versões do iOS antes da 16.7.
A empresa não compartilhou nenhuma informação sobre os ataques que exploram as novas vulnerabilidades. No entanto, considerando que eles foram relatados à Apple por pesquisadores do grupo Citizen Lab, da Universidade de Toronto, e do grupo de análise de ameaças do Google, os bugs provavelmente foram explorados por um fornecedor de spyware comercial para hackear iPhones.
Veja isso
Apple lança patches de segurança rápida para iPhone, iPad e Mac
Apple divulga dois dias zero usados para implantar spyware
O Citizen Lab e a Apple investigaram recentemente ataques envolvendo um dia zero identificado como CVE-2023-41064. Essa brecha de segurança, parte de uma exploração de clique zero chamada BlastPass, foi usada para entregar o notório spyware Pegasus do NSO Group para iPhones.
Em um ataque investigado pelo Citizen Lab, o spyware foi entregue a um funcionário de uma organização internacional da sociedade civil com sede em Washington DC. O CVE-2023-41064 afeta o formato de imagem WebP. A biblioteca afetada também é usada nos navegadores Chrome e Firefox, e o Google e a Mozilla também foram forçados a lançar atualizações emergenciais para lidar com o dia zero, que eles rastreiam como CVE-2023-4863.