.
A Apple lançou correções para várias falhas de segurança que afetam seus iPhones, iPads, computadores macOS e Apple TV e relógios, e alertou que alguns desses bugs já foram explorados.
Aqui está uma lista rápida de todas as atualizações de segurança lançadas na tarde de segunda-feira:
Na terça-feira, a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA também soou o alarme, aviso que “um invasor pode explorar algumas dessas vulnerabilidades para assumir o controle de um dispositivo afetado”. A CISA pediu aos usuários e administradores que apliquem as atualizações de software e verifiquem se os sistemas de correção automática estão funcionando corretamente. Nós apoiamos essa opinião.
Um dos bugs, CVE-2023-32409, no mecanismo de navegador WebKit da Apple afeta iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração). Este foi descoberto por Clément Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, e Donncha Ó Cearbhaill, do Laboratório de Segurança da Anistia Internacional.
“Um invasor remoto pode conseguir escapar da caixa de areia do conteúdo da Web”, de acordo com o iGiant’s consultivo. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.”
A Apple diz que corrigiu o problema melhorando as verificações de limites. E embora a gigante da tecnologia nunca forneça detalhes sobre como a vulnerabilidade foi abusada, ou por quem, os caçadores de bugs que detectaram o software desagradável parecem indicar que ele está sendo usado para implantar spyware nos dispositivos das vítimas.
Faixas TAG mais de 30 fabricantes de spyware comercial que vendem façanhas e software de vigilância. Jornalistas, ativistas e dissidentes políticos tendem a ser alvo de snoopware, que a Anistia tem grande interesse em examinar.
Kaspersky cava no kernel
Neste mesmo lote de atualizações de segurança, a Apple disse que corrigiu um bug no nível do kernel, CVE-2023-38606, para: iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2 , iPad mini (4ª geração) e iPod touch (7ª geração). Essa falha provavelmente foi explorada na natureza, ao que parece.
“Um aplicativo pode modificar o estado sensível do kernel”, alertou o fabricante do iPhone. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS lançadas antes do iOS 15.7.1.”
A Apple credita aos pesquisadores da Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko e Boris Larin a descoberta desse bug, que se parece com a vulnerabilidade do kernel usada para infectar iPhones com TriangleDB spywaretambém descoberto pela equipe mencionada.
Este último bug do kernel, CVE-2023-38606, também afeta vários outros produtos da Apple, incluindo Macs executando macOS Ventura, Monterey e Big Sur, Apple Watch Series 4 e posterior, Apple TV 4K (todos os modelos) e Apple TV HD.
Outra vulnerabilidade no WebKit, no tvOS 16, watchOS 9.6, macOS Ventura, iOS 16 e iPadOS 16, rastreada como CVE-2023-37450, também pode ter sido explorada antes que a Apple enviasse patches, fomos informados. A falha, relatada por um pesquisador anônimo, ocorre durante o processamento de conteúdo da web, o que pode levar à execução arbitrária do código. Os patches estão disponíveis para todos os modelos Apple TV 4K, caixas Apple TV HD, Apple Watch Series 4 e posterior e Macs com Ventura.
Anteriormente, a Apple corrigia esse mesmo problema em alguns iPhones e iPads por meio de uma “resposta rápida de segurança” no iOS 16.5.1 (c) e iPadOS 16.5.1 (c). Esses são os novos tipos de patches que a Apple começou a distribuir em maio, com resultados mistos.
Os patches devem ser baixados e aplicados automaticamente para proteger imediatamente os dispositivos contra exploração, evitando assim o ciclo normal de atualização do sistema que os usuários podem adiar ou perder e, assim, deixar seu kit vulnerável. ®
.
