.
O outono está aqui, mas o verão quente de dia zero não mostra sinais de esfriamento, com empresas como Apple, Microsoft e Google corrigindo falhas sendo usadas em ataques da vida real.
Algumas correções empresariais importantes foram lançadas durante o mês, incluindo um patch da Cisco para uma vulnerabilidade com pontuação CVSS máxima de 10.
O spyware tem sido uma tendência proeminente nos últimos meses e é uma ameaça que todos deveriam levar a sério. Os ataques podem atingir dispositivos sem qualquer interação do usuário, por isso é importante manter seu sistema operacional atualizado.
Aqui está tudo o que você precisa saber sobre os patches lançados em setembro.
Apple iOS e iPad OS
A Apple não lançou nenhuma atualização de segurança em agosto, mas a fabricante do iPhone compensou isso em setembro. Primeiro veio o iOS 16.6.1, uma atualização de segurança de emergência lançada em 9 de setembro para corrigir duas falhas já usadas nos chamados ataques de “clique zero”.
Relatadas por pesquisadores do Citizen Lab da Universidade de Toronto, as vulnerabilidades foram usadas para plantar spyware por meio de anexos contendo imagens maliciosas em um iMessage, em um ataque que os pesquisadores chamaram de BLASTPASS.
Em meados de setembro, a Apple lançou sua principal atualização de software, o iOS 17, seguido pelo iOS 17.0.1 alguns dias depois. A atualização surpresa do iOS 17.0.1 foi importante porque corrigiu outras três falhas do iPhone usadas em ataques de spyware.
Rastreado como CVE-2023-41992 e relatado por pesquisadores de segurança do Citizen Lab e do Google, o primeiro problema é uma falha no kernel que pode permitir que um invasor aumente privilégios. As outras duas vulnerabilidades no WebKit e no Security poderiam ser potencialmente encadeadas para assumir o controle do dispositivo de um usuário.
As falhas corrigidas no iOS 17.0.1 também foram corrigidas na versão iOS 16.7 para usuários de iPhones mais antigos ou pessoas que não desejam atualizar para o software mais recente.
No final de setembro, a Apple lançou o iOS 17.0.2 para corrigir alguns bugs anteriores do iOS 17, e esta é a versão mais recente do software, conforme publicação.
A Apple também lançou o macOS Sonoma 14 para corrigir mais de 60 vulnerabilidades.
Android
Setembro foi um grande mês de segurança para os usuários do Android do Google, com o patch mensal corrigindo 33 falhas, incluindo uma já usada em ataques. Rastreada como CVE-2023-35674, a vulnerabilidade na estrutura pode permitir que um adversário eleve privilégios sem qualquer interação do usuário. “Há indicações de que CVE-2023-35674 pode estar sob exploração limitada e direcionada”, disse o Google em seu Boletim de Segurança do Android.
Outro problema grave é uma vulnerabilidade crítica de segurança no componente do sistema que pode levar à execução remota de código sem a necessidade de privilégios de execução adicionais.
.
