A Apple anunciou ontem as correções para três vulnerabilidades no iOS, no iPadOS e no tvOS que podem ter sido exploradas por hackers em ataques reais. A Apple não especifica a natureza dos ataques, sua escala e quem pode tê-los organizado.
As três vulnerabilidades (CVE-2021-1782, CVE-2021-1870 e CVE-2021-1871) foram descobertas por um pesquisador de segurança anônimo e corrigidas no iOS 14.4 e iPadOS 14.4 para iPhone 6s e mais recentes, para o iPad Air 2 e mais recentes, iPad mini 4 e posteriores e iPod touch de 7ª geração. Também foram publicados os patches para Apple TV 4K e Apple TV HD.
A Apple descreveu assim as vulnerabilidades:
- CVE-2021-1782: Vulnerabilidade de condição de ‘corrida’ do kernel. Com sua ajuda, o aplicativo pode elevar seus privilégios no sistema.
- CVE-2021-1870 e CVE-2021-1871: Erros lógicos no mecanismo do navegador WebKit. Sua exploração bem-sucedida permite a execução remota de código.
É possível, admite a Apple, que invasores explorem essas vulnerabilidades em um pacote para realizar ataques ‘watering hole’. Esses ataques envolvem a infecção do dispositivo da vítima com malware por meio de sites comprometidos. Usando as vulnerabilidades acima, o malware pode escalar seus privilégios e executar comandos arbitrários para obter controle sobre o dispositivo.
Com agências internacionais
