.
A Apple emitiu um monte de atualizações de segurança e alertou que três das falhas corrigidas estão sob ataque ativo.
Os três são CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373, todos impactando o mecanismo do navegador WebKit que a Apple defende e emprega em seu navegador Safari – e exige ser usado por outros navegadores no iOS.
CVE-2023-32409 significa “Um invasor remoto pode conseguir escapar da caixa de proteção de conteúdo da Web”. Clément Lecigne, do Grupo de Análise de Ameaças do Google, e Donncha Ó Cearbhaill, do Laboratório de Segurança da Anistia Internacional, encontraram a falha.
A propósito, quem sabia que a Anistia tinha um Laboratório de Segurança?
CVE-2023-28204 é descrito como “O processamento de conteúdo da Web pode divulgar informações confidenciais”.
CVE-2023-32373 significa “O processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos.”
Todos os três são encontrados no iPhone 8 e posteriores, todos os modelos de iPad Pro, iPad Air de sua terceira geração aos modelos atuais, iPads da quinta geração do fondleslab até o presente e iPad minis de máquinas de quinta geração até o presente.
No momento em que escrevo, os CVEs são tão recentes que informações detalhadas não estão disponíveis, portanto, as classificações de gravidade também estão ausentes.
Mas basta dizer que mais de um bilhão de iPhones e iPads são vulneráveis a essas falhas, então a notícia de que a Apple acha que eles estão sendo explorados é muito indesejável. Também prejudica o orgulho da Apple de que é super bom em segurança.
A Apple também revelou inúmeras outras falhas – Strong The One contabilizou 199 menções de CVEs nos oito avisos de segurança o carrinho de frutas emitido em 18 de maio.
Esses avisos detalham problemas no macOS Big Sur, Ventura e Monterey, cujas versões recentes podem vazar informações de localização e coisas piores.
39 CVEs são listado como impactando o iOS 16.5 e iPadOS 16.5. Entre os problemas estão a execução arbitrária de código, às vezes com privilégios de kernel, restauração de fotos excluídas, aplicativos que acessam informações confidenciais de localização, permissões de privacidade concedidas a um aplicativo que pode ser usado por um aplicativo malicioso.
Muitos dos CVEs são encontrados nos sistemas operacionais da Apple, mas alguns são específicos do dispositivo.
watchOS 9.5, por exemplo, sofre de CVE-2023-32417, o que significa “Um invasor com acesso físico a um Apple Watch bloqueado pode visualizar fotos ou contatos do usuário por meio de recursos de acessibilidade”. Aquele foi descoberto por Zitong Wu (吴梓桐) da Zhuhai No.1 High School (珠海市第一中学) em Gaundong, China. Vá para o primeiro da classe, Sr. Wu!
A política da Apple não é “divulgar, discutir ou confirmar problemas de segurança até que uma investigação tenha ocorrido e patches ou versões estejam disponíveis”. De acordo com essa postura, a Apple instou os usuários a implementar atualizações o mais rápido possível.
Notícias das falhas do WebKit têm potencial para aumentar agitação para a Apple abrir seus produtos para motores de navegador rivais e, talvez, portanto, para os esforços de mais desenvolvedores que trabalham para melhorar a segurança desses projetos.
Cupertino está se preparando para permitir vários motores – apenas para satisfazer os reguladores que acham que suas plataformas precisam de uma dose de competição.
Mas essa abordagem não corrigirá falhas como a bagunça do watchOS descrita acima: a Apple deve possuir alguns desses problemas por conta própria. ®
.
