CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

iOS13.jpg

Apple lança patches de segurança urgentes para iOS e iPadOS

Da Redação
12/12/2023

A Apple lançou nesta segunda-feira, 11, atualizações de segurança para o iOS e o iPadOS visandoresolver várias vulnerabilidades graves que expõem os usuários móveis a ataques hackers. As versões mais recentes dos sistemas operacionais, o  iOS 17.2 e iPad 17.2, contêm correções para o menos 11 falhas de segurança documentadas, algumas graves o suficiente para levar à execução arbitrária de código ou fugas de área restrita de aplicativos.

De acordo com um comunicado da equipe de resposta de segurança da Apple, o problema mais sério é uma corrupção de memória na ImageIO (biblioteca Python) que pode levar à execução arbitrária de código quando determinadas imagens são processadas.

O lançamento do iOS 17.2 também aborda uma falha de execução de código no mecanismo de renderização do WebKit e um problema de segurança de memória que permite que os aplicativos saiam da área restrita do dispositivo.

A empresa também corrigiu um problema de privacidade em Accounts, um problema de divulgação de informações no AVEVideoEncoder, um kit de extensão que permite acesso a dados confidenciais do usuário e uma falha da Siri que permite que um invasor com acesso físico use o bot de voz para acessar dados confidenciais do usuário.

A Apple também lançou  o iOS 16.7.3 e o iPadOS 16.7.3  para fornecer um lote de correções de segurança para dispositivos que executam versões mais antigas do sistema operacional. Essas atualizações também incluem correções para zero-days do WebKit documentado anteriormente capturados por meio de exploração.

A fabricante também emitiu atualizações de segurança de emergência para patches de backport para duas falhas de dia zero exploradas ativamente em iPhones mais antigos e alguns modelos do Apple Watch e Apple TV.

As duas vulnerabilidades, rastreadas como CVE-2023-42916 e CVE-2023-42917, foram descobertas dentro do mecanismo de navegador WebKit, desenvolvido pela Apple e usado pelo navegador Safari em suas plataformas — por exemplo, macOS, iOS, iPadOS. Elas podem permitir que invasores obtenham acesso a dados confidenciais e executem código arbitrário usando páginas da web criadas com códigos maliciosos projetados para explorar bugs fora dos limites e de corrupção de memória em dispositivos sem patch.

Veja isso
Apple corrige bugs de dia zero em iPads e Macs que roubam dados
Apple divulga dois dias zero usados para implantar spyware

A empresa diz que os bugs foram corrigidos na seguinte lista de dispositivos:

  • iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air 3ª geração e posterior, iPad 5ª geração e posterior e iPad mini 5ª geração e posterior
  • Apple TV HD e Apple TV 4K (todos os modelos)
  • Apple Watch Series 4 e posterior

Embora a Apple ainda não tenha fornecido detalhes sobre a exploração das vulnerabilidades em ataques, pesquisadores do Google TAG identificaram e divulgaram informações sobre falhas de dia zero empregadas em ataques de software de vigilância patrocinados por Estados-nação visando indivíduos de alto perfil, incluindo jornalistas, figuras da oposição e dissidentes.

Desde o início do ano, a Apple corrigiu 20 vulnerabilidades de dia zero exploradas em ataques:

  • dois dias zero (CVE-2023-42916 e CVE-2023-42917) em novembro
  • dois dias zero (CVE-2023-42824 e CVE-2023-5217) em outubro
  • cinco dias zero (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) em setembro
  • dois dias zero (CVE-2023-37450 e CVE-2023-38606) em julho
  • três dias zero (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
  • mais três dias-zero (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
  • dois dias zero (CVE-2023-28206 e CVE-2023-28205) em abril
  • e outro WebKit zero-day (CVE-2023-23529) em fevereiro

Compartilhar: