.
A Apple emitiu soluções emergenciais para corrigir falhas de segurança em iPhones, iPads e Macs que já podem estar sob ataque.
As atualizações de software para iOS, iPadOS, macOS Sonoma e navegador Safari corrigem dois bugs: uma falha de leitura fora dos limites rastreada como CVE-2023-42916 e uma vulnerabilidade de corrupção de memória rastreada como CVE-2023-42917.
Ambos estão no mecanismo do navegador WebKit – o coração do Safari, encontrado em iThings e Macs – e podem ser usados de forma abusiva para acessar informações confidenciais (CVE-2023-42916) e executar código arbitrário (CVE-2023-42917) em dispositivos vulneráveis. . Parece que uma página da Web maliciosa ou conteúdo semelhante pode explorar essas falhas: imaginamos que um ataque envolveria enganar uma marca para abrir uma página que então sequestrasse seu equipamento e a espionasse.
A lista de dispositivos afetados é longa e inclui:
- iPhone XS e posterior
- iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior
- Macs executando macOS Monterey, Ventura, Sonoma
“A Apple está ciente de um relatório de que esse problema pode ter sido explorado”, disse a empresa do Vale do Silício sobre os dois bugs na atualização de segurança de 30 de novembro.
Embora não tenhamos detalhes sobre quem pode estar cutucando códigos em dispositivos Apple e quais ações malignas eles provavelmente estavam cometendo, ambos foram encontrados por Clément Lecigne, do Grupo de Análise de Ameaças (TAG) do Google.
A TAG fica de olho nas equipes de espionagem dos estados-nação, bem como nos fornecedores comerciais de spyware, e alguns dos bugs anteriores da Apple foram usados para implantar malware de espionagem Pegasus e TriangleDB em telefones e computadores comprometidos.
Em maio, Cupertino corrigiu três outras falhas do WebKit exploradas que também foram detectadas por Lecigne e pela Anistia Internacional. Esses tipos de bugs tendem a ser explorados em ataques direcionados contra políticos, jornalistas, acadêmicos, ativistas e outros.
E também esta semana: o Google corrigiu um bug encontrado por Lecigne em seu navegador Chrome. Esta vulnerabilidade, CVE-2023-6345, também foi explorada por malfeitores antes de o Google lançar o patch.
Tal como acontece com as falhas da Apple, não temos muitos detalhes sobre a vulnerabilidade do Chrome, a não ser um problema de estouro de números inteiros de alta gravidade no Skia, uma biblioteca gráfica popular usada pelo navegador. Mas se tivéssemos que apostar, apostaríamos na exploração de tudo isso por bisbilhoteiros cibernéticos para fins de espionagem.
Portanto, antes de entrar no fim de semana, provavelmente é uma boa ideia atualizar tudo. ®
.
