A Apple corrigiu uma vulnerabilidade de segurança de dia zero em seu mecanismo de navegador WebKit e liberou atualizações para iOS, iPadOS e macOS. O navegador Safari, baseado no WebKit, recebeu atualização de segurança separadamente para casos em que esteja sendo usado com uma versão mais antiga do macOS, como o Big Sur. O tvOS da Apple também foi atualizado, mas sem a correção de segurança.
As atualizações — iOS 15.3.1, iPadOS 15.3.1 e macOS Monterey 12.2.1 — são para a vulneravilidade rastreada como CVE-2022-22620, relatada à Apple por um pesquisador anônimo. “O processamento de conteúdo da web criado com intuito malicioso pode levar à execução arbitrária de código”, explica o conciso aviso de segurança da empresa. “A Apple está ciente de um relatório que alerta que esse problema pode ter sido explorado ativamente.”
A CVE-2022-22620 é uma falha de uso posterior que a Apple diz ter corrigido implementando um melhor gerenciamento de memória. Não foram disponibilizados mais detalhes sobre a vulnerabilidade ou o código de exploração potencial.
Zero-days no software da Apple têm sido usados para realizar ataques cibernéticos sofisticados, como aqueles conduzidos por regimes autoritários contra membros da sociedade civil com a ajuda do software Pegasus da NSO Group. Em setembro do ano passado, o grupo de pesquisa de ameaças Citizen Lab documentou uma falha de dia zero chamada ForceDentry (CVE-2021-30860) que foi usada por pelo menos oito meses para comprometer dispositivos Apple iOS, macOS e watchOS.
Ponto único de falha
O patch da Apple é relevante não apenas para usuários do Safari, que depende do WebKit, mas para usuários de qualquer navegador iOS, porque a Apple exige que todos os navegadores iOS usem o WebKit — uma situação que está sendo analisadas pelos órgãos reguladores antitruste dos EUA e do Reino Unido.
A Apple argumenta que apenas o WebKit é adequado para iOS. Ela alega “que, como resultado de sua exigência de que todos os navegadores no iOS sejam baseados em seu próprio mecanismo de navegador, WebKit, é mais prontamente capaz de corrigir quaisquer preocupações de privacidade e segurança que surjam em tempo hábil, e reduzir os riscos para os usuários”, disse a empresa a Autoridade de Concorrência e Mercado do Reino Unido em seu relatório provisório de 26 de janeiro de 2022, ao qual o site The Register teve acesso.
Veja isso
Biden se reúne com Apple, IBM e Google para discutir segurança
Apple processa NSO Group por abuso de spyware
Com base em dados anteriores coletados pelo Projeto Zero do Google, “em tempo hábil” significa “não tão rapidamente”. Na análise recente do Projeto Zero de correção de dia zero, o tempo médio de reparo da Apple para bugs do iOS é mais ou menos o mesmo e o tempo médio de reparo do Google para Android — 70 e 72 dias, respectivamente. Mas quando os reparos do navegador são comparados, a Apple não se sai nada bem.
“O WebKit é o outlier nesta análise, com o maior número de dias para lançar um patch em 73 dias”, escreveu Ryan Schoen, pesquisador do Projeto Zero. “O tempo deles para conseguirem a correção está no meio entre o Chrome e o Firefox, mas infelizmente isso deixa muito tempo para os invasores oportunistas encontrarem o patch e explorá-lo antes que a correção seja disponibilizada aos usuários”.
Desde a Conferência Mundial de Desenvolvedores da Apple no ano passado, os desenvolvedores que participam do ecossistema da empresa vêm “repreendendo” a empresa por investir pouco na web. E eles expressaram preocupação de que o Safari possa se tornar o novo Internet Explorer — uma referência à época em que o desinteresse da Microsoft em seu navegador outrora dominante frustrou os desenvolvedores da web e, finalmente, levou ao surgimento do Firefox da Mozilla e, em seguida, do Chrome do Google.
