.
A Apple lançou esta semana atualizações de bugs em seus sistemas operacionais e no navegador Safari, para corrigir uma vulnerabilidade de dia zero em seu mecanismo de navegador WebKit que foi ativamente explorado.
As atualizações macOS 13.2.1, iOS 16.3.1, iPadOS 16.3.1 e Safari 16.3.1 corrigem a falha, rastreada como CVE-2023-23529, que pode permitir que o conteúdo da Web criado com códigos maliciosos execute código arbitrário. É descrito pela Apple como uma falha de confusão de tipo corrigida por verificações aprimoradas.
A questão tinha a ver com Código JsonWebToken que aceitaram chaves de criptografia assimétricas não associadas a um algoritmo específico por meio do jwt.verify() função. Por exemplo, as chaves DSA podem ser usadas com o Algoritmo RS256. Isso evidentemente permitia a verificação de assinatura com tipos de chave inseguros.
O comunicado da Apple diz que a empresa “está ciente de um relatório de que esse problema pode ter sido explorado ativamente”. Ele dá crédito a um pesquisador anônimo por relatar o bug e seu comunicado do iOS também reconhece “o Citizen Lab da Munk School da Universidade de Toronto por sua assistência”.
O Citizen Lab tem um histórico de documentação de vulnerabilidades em software da Apple que foram exploradas por autoridades governamentais usando spyware comercial como o Pegasus do Grupo NSO.
A Apple não respondeu imediatamente a um pedido para comentar se esse dia zero está sendo explorado por clientes comerciais de spyware. No entanto, suspeitamos que o pesquisador anônimo citado pode não estar relacionado ao Citizen Lab.
Os patches da Apple também tratam de duas outras vulnerabilidades.
O CVE-2023-23514, relatado por Xinru Chi do Pangu Lab e Ned Williamson do Google Project Zero, afeta o kernel do sistema operacional macOS, iOS e iPad (e provavelmente os kernels tvOS e watchOS também). É um usar depois de grátis erro de memória que tem o potencial de permitir a execução de código arbitrário com privilégios de kernel. Essencialmente, um aplicativo ou algum outro programa em execução pode usar isso para assumir o controle do dispositivo.
Um terceiro CVE, CVE-2023-23522, foi relatado por Wenchao Li e Xiaolong Bai, do Alibaba Group. Menos grave que os outros, esse bug no macOS Ventura potencialmente permitia que um aplicativo observasse dados desprotegidos do usuário.
A Apple fornece poucos detalhes sobre sua correção, além de observar que resolveu o problema de privacidade no componente Atalhos, melhorando a forma como o sistema operacional lida com arquivos temporários.
Esta parece ser a primeira correção de dia zero que a Apple emitiu para os modelos de dispositivos atuais este ano. Em janeiro, a Apple apresentou uma correção do ano passado para uma falha do WebKit sob exploração ativa para iPhone 5 e dispositivos desatualizados semelhantes executando o iOS 12.5.
Patches para tvOS 16.3.2 e watchOS 9.3.1 também foram lançado mas a Apple ainda não os havia documentado na época em que esta história foi escrita. ®
.
