Na sexta-feira (7), a Apple liberou atualizações emergenciais de segurança para resolver duas novas vulnerabilidades de dia zero. Essas fragilidades poderiam ser exploradas para hackear tanto iPhones quanto Macs e iPads. Segundo a companhia, a lista de aparelhos afetados é grande, incluindo gadgets lançados em 2015.
São duas falhas distintas, que deixam expostas as seguranças dos dispositivos da maçã a ataques de execução de código.
A primeira surgiu no IOSurfaceAccelerator como CVE-2023-28206. A Apple a considerou um problema de gravação fora dos limites, que poderia levar a corrupção de dados, crash ou execução de código. Se criminosos realizassem o exploit corretamente, eles conseguiriam usar um aplicativo malicioso para executar códigos arbitrários com privilégios de kernel em certos dispositivos.
A segunda vulnerabilidade veio como CVE-2023-28205. Ela foi considerada um bug no WebKit, que permite a corrupção de dados ou a execução arbitrária de código ao reutilizar a memória liberada. Hackers conseguiriam explorar essa fraqueza enganando os alvos para carregar páginas da Web maliciosas, o que poderia levar à execução de código em sistemas comprometidos.
Ambas as falhas de zero-day foram tratadas pela maçã nas atualizações iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1. Na postagem na página de suporte da empresa sobre o assunto, surgiu o seguinte comunicado:
A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.
Por fim, a companhia americana deu os créditos da descoberta ao Google e ao Laboratório de Segurança da Anistia internacional.
Falhas afetaram iPhone 8 e outros dispositivos
A Apple afirmou que muitos de seus aparelhos sofreram com as vulnerabilidades, fazendo com que a lista tenha produtos lançados desde 2015, como é o caso do iPad Pro:
- Todas as versões do iPad Pro;
- iPad Air de terceira geração e posterior;
- iPad de quinta geração e posterior;
- iPad mini de quinta geração e posterior;
- iPhone 8 e posterior;
- Macs que utilizam o macOS Ventura.
Apple já corrigiu vulnerabilidade em fevereiro
Vale lembrar que um outro erro já havia dado as caras no mês de fevereiro para a maçã. O problema CVE-2023-23529 foi relacionado ao WebKit, que poderia ser explorado para desencadear falhas no sistema operacional e obter execução de código em dispositivos comprometidos.
Se os hackers conseguissem usar o exploit, seria possível executar um código arbitrário em dispositivos que executam versões vulneráveis do iOS, iPadOS e macOS depois de abrir uma página da Web maliciosa.
Contudo, a dona do iPhone liberou a correção de dia zero no iOS 16.3.1, iPadOS 16.3.1 e macOS Ventura 13.2.1. Como resultado, toda a questão recebeu a devida solução sem muita demora.
Com informações: Bleeping Computer.