.
Os patches de segurança mais recentes da Apple abordam quatro vulnerabilidades que afetam iOS e iPadOS, incluindo dois dias zero que a Intel sugere que os invasores já exploraram.
No estilo típico da Apple, ele mantém a maioria dos detalhes interessantes em segredo, mas ambos têm o potencial de acessar dados no kernel protegido.
A gigante da tecnologia de consumo registrou a vulnerabilidade como CVE-2024-23225 e disse que um invasor já precisaria ter recursos de leitura e gravação do kernel para contornar as proteções de memória do kernel. O problema foi corrigido com validação aprimorada, disse a Apple.
A história é semelhante com CVE-2024-23296, o segundo dia zero divulgado na rodada de atualizações. Afetando o RTKit, o sistema operacional em tempo real da Apple que roda em vários dispositivos como AirPods, Apple Watch e muito mais, sua descrição reflete de perto a do CVE-2024-23225.
Os invasores precisariam novamente de recursos de leitura e gravação do kernel para explorá-lo, e isso também permitiria que os malfeitores contornassem as proteções de memória do kernel. Também foi corrigido com validação aprimorada.
Existem, no entanto, pequenas diferenças entre os dois. Embora as atualizações mais recentes do iOS e iPadOS 17.4 da Apple protejam os usuários contra vulnerabilidades, os engenheiros de segurança de Cupertino também foram forçados a desenvolver um patch para dispositivos que executam iOS e iPadOS versão 16.x.
Na verdade, CVE-2024-23225 também afeta dispositivos como o iPhone 8, iPhone X, iPad de 5ª geração, iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas de 1ª geração – dispositivos que não são mais suportados pelos lançamentos mais recentes do sistema operacional da Apple.
Infelizmente, não há detalhes em termos de quais ataques os zero-days explorados estiveram envolvidos ou quão graves são as vulnerabilidades. No momento em que este artigo foi escrito, o National Vulnerability Database (NVD) ainda estava analisando as falhas e ainda não atribuiu uma classificação de gravidade CVSS.
Normalmente, quando os fornecedores se registram para CVEs, eles também fornecem uma classificação CVSS provisória própria, que aparece junto com a avaliação do NVD, mas é raro que a Apple envie a sua própria, em nossa experiência.
A Apple também reteve a atribuição da descoberta do dia zero, não revelando nada sobre se eles foram encontrados internamente ou relatados por terceiros.
As versões 17.4 do iOS e iPadOS foram lançadas em 5 de março e também trouxeram correções para duas outras vulnerabilidades aparentemente menores.
Descoberto por Cristian Dinca, estudante da Faculdade Nacional de Ciência da Computação Tudor Vianu, em Bucareste, o CVE-2024-23243 foi registrado como uma vulnerabilidade que poderia expor informações confidenciais de localização a um aplicativo.
“Um problema de privacidade foi resolvido com uma melhor redação de dados privados para entradas de log”, disse a Apple.
Os alunos da escola têm entre 11 e 19 anos, o que significa que Dinca pode ter um futuro brilhante em segurança cibernética.
A descoberta de CVE-2024-23256 foi atribuída a um certo “Om Kothawade”, embora nenhuma credencial tenha sido incluída ao lado de seu nome.
A vulnerabilidade está relacionada ao recurso de navegação privada do Safari e pode ter feito com que as guias bloqueadas de um usuário se tornassem visíveis por um curto período ao alternar entre grupos de guias, apenas quando a Navegação Privada Bloqueada estava habilitada.
“Um problema lógico foi resolvido com um melhor gerenciamento de estado”, disse a Apple.
Mais que um patch
Como já abordamos esta semana, as atualizações do iOS e iPadOS 17.4 da Apple trouxeram mais do que apenas correções de segurança.
Os pedidos de acordo com a Lei dos Mercados Digitais da UE estão agora à solta. A Apple foi obrigada por Bruxelas a dar aos usuários a opção de escolher o mecanismo do navegador e de onde baixar seus aplicativos.
A Apple cumpriu o prazo de 6 de março mais cedo, revisando regras anteriormente antigas contra o sideload de aplicativos e aplicativos de navegador que usam seus próprios mecanismos nos telefones e tablets da Apple. Chrome, Firefox e o resto eram essencialmente reskins do Safari da Apple rodando em sua estrutura WebKit.
Por dentro do nosso esforço de três meses para participar da festa de lançamento do iPhone 7 da Apple
CONSULTE MAIS INFORMAÇÃO
Na UE, esse não é mais o caso. Os usuários agora veem uma nova tela de configuração após instalar a atualização, solicitando que escolham um navegador padrão. Eles também podem ser penalizados por passar muito tempo fora do país, descobriu-se, com a Apple afirmando: “Se você ficar fora por muito tempo, perderá o acesso a alguns recursos, incluindo a instalação de novos mercados de aplicativos alternativos”. disse a Apple.
As novas atualizações também trouxeram alguns outros recursos, como transcrição automática de podcast, iMessages com segurança quântica e novos emojis. ®
.
