.
A Apple lançou patches na Sexta-feira Santa para seus sistemas operacionais iOS, iPadOS e macOS e para o navegador Safari para solucionar vulnerabilidades encontradas pelo Google e pela Anistia Internacional que foram exploradas na natureza.
As correções lançadas em 7 de abril eliminam dois bugs de segurança – CVE-2023-28205 e CVE-2023-28206 – no Apple WebKit e IOSurfaceAcclerator, respectivamente. Os bisbilhoteiros que exploram com sucesso ambos os buracos podem executar código arbitrário com privilégios de kernel, permitindo-lhes executar praticamente qualquer comando ou código que desejarem no dispositivo comprometido. Isso lhes permitiria roubar dados e espionar os alvos. Tudo o que a vítima precisa fazer é abrir algum tipo de página da Web criada com códigos maliciosos em um dispositivo vulnerável.
As atualizações são para iOS 16.4.1iPadOS 16.4.1, Safari 16.4.1 e macOS 13.3.1. A Apple lançou o iOS 16.4 e o macOS 13.3 em 27 de março.
As atualizações estão disponíveis para uma variedade de dispositivos, desde o iPhone 8 e posteriores, todos os modelos do iPad Pro, iPad Airs de terceira geração e posteriores e tablets iPad e iPad Mini de quinta geração e posteriores. Se isso lhe parece familiar, em fevereiro Cupertino remendado falhas semelhantes em seus sistemas operacionais.
A Apple deu crédito aos pesquisadores Clément Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, e Donncha Ó Cearbhaill, do Laboratório de Segurança da Anistia Internacional, por encontrar e relatar essas últimas falhas.
Separadas das anteriores, essas correções vêm depois que o Google TAG e a Anistia Internacional divulgaram relatórios em 29 de março sobre duas campanhas nas quais usuários de iOS e Android tiveram spyware instalado em seus dispositivos por algum grupo ou outro.
O Laboratório de Segurança da Anistia alertou o Google no final do ano passado uma dessas campanhas – um esforço de uma “empresa de spyware mercenária” para infectar equipamentos Android – levando o Google, Samsung e outros fornecedores a lançar atualizações de segurança que protegiam usuários de Android e Linux. Enquanto isso, TAG detalhado uma campanha que explora dias zero no Android e no iOS.
A Anistia não nomeou o fabricante do malware em seu artigo, mas disse que as infecções indicavam que a “campanha avançada de spyware” foi “desenvolvida por uma empresa comercial de vigilância cibernética e vendida a hackers do governo para realizar ataques direcionados de spyware”. A campanha está ativa desde pelo menos 2020.
“Embora seja vital que essas vulnerabilidades sejam corrigidas, isso é apenas um esparadrapo para uma crise global de spyware”, disse Cearbhaill em um comunicado.
A Anistia Internacional pediu uma moratória global sobre o desenvolvimento e venda de spyware, observando os abusos de alto perfil do Pegasus spyware criado pelo Grupo NSO.
Presidente Joe Biden no final de março publicado uma ordem executiva sobre o governo dos EUA usando tal spyware, embora não tenha conseguido bani-lo completamente. ®
.
