Language
Os patches da Apple exploraram bugs de segurança no kernel e no Webkit • The Register
LarLar > Notícias > Os patches da Apple exploraram bugs de segurança no kernel e no Webkit • The Register
ÚLTIMAS NOTÍCIAS

Os patches da Apple exploraram bugs de segurança no kernel e no Webkit • The Register

Jul 15, 2023

A Apple lançou correções para diversas falhas de segurança que afetam seus iPhones, iPads, computadores macOS e Apple TV e relógios, e alertou que alguns desses bugs já foram explorados.

Aqui está uma lista rápida de todas as atualizações de segurança lançadas no final da tarde de segunda-feira:

Na terça-feira, a Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA também soou o alarme, alertando que “um invasor poderia explorar algumas dessas vulnerabilidades para assumir o controle de um dispositivo afetado”. A CISA instou os usuários e administradores a aplicarem as atualizações de software e verificarem se os sistemas de correção automática estão funcionando corretamente. Apoiamos essa opinião.

Um dos bugs, CVE-2023-32409, no mecanismo de navegador WebKit da Apple afeta iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração). Este foi descoberto por Clément Lecigne, do Threat Analysis Group (TAG) do Google, e Donncha Ó Cearbhaill, do Laboratório de Segurança da Amnistia Internacional.

“Um invasor remoto pode conseguir sair da sandbox de conteúdo da Web”, de acordo com o comunicado do iGiant. “A Apple está ciente de um relatório de que este problema pode ter sido explorado ativamente.”

A Apple diz que corrigiu o problema melhorando as verificações de limites. E embora a gigante da tecnologia nunca forneça detalhes sobre como a vulnerabilidade foi abusada, ou por quem, os caçadores de bugs que detectaram o software desagradável parecem indicar que ele está sendo usado para implantar spyware nos dispositivos das vítimas.

A TAG rastreia mais de 30 fabricantes comerciais de spyware que vendem exploits e software de vigilância. Jornalistas, activistas e dissidentes políticos tendem a ser alvo de snoopware, que a Amnistia tem grande interesse em examinar.

Neste mesmo lote de atualizações de segurança, a Apple disse que corrigiu um bug no nível do kernel, CVE-2023-38606, para: iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2 , iPad mini (4ª geração) e iPod touch (7ª geração). Essa falha provavelmente foi explorada em estado selvagem, ao que parece.

“Um aplicativo pode modificar o estado sensível do kernel”, alertou o fabricante do iPhone. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS lançadas antes do iOS 15.7.1.”

A Apple credita aos pesquisadores da Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko e Boris Larin a descoberta desse bug, que se parece com a vulnerabilidade do kernel usada para infectar iPhones com spyware TriangleDB, também descoberta pela equipe mencionada.

Este último bug do kernel, CVE-2023-38606, também afeta vários outros produtos Apple, incluindo Macs executando macOS Ventura, Monterey e Big Sur, Apple Watch Series 4 e posterior, Apple TV 4K (todos os modelos) e Apple TV HD.

Outra vulnerabilidade no WebKit, no tvOS 16, watchOS 9.6, macOS Ventura, iOS 16 e iPadOS 16, rastreada como CVE-2023-37450, também pode ter sido explorada antes da Apple enviar patches, fomos informados. A falha, relatada por um pesquisador anônimo, ocorre durante o processamento de conteúdo da web, o que pode levar à execução arbitrária de códigos. Os patches estão disponíveis para todos os modelos Apple TV 4K, caixas Apple TV HD, Apple Watch Series 4 e posteriores e Macs com Ventura.

Anteriormente, a Apple corrigiu esse mesmo problema em alguns iPhones e iPads por meio de uma “resposta rápida de segurança” no iOS 16.5.1 (c) e no iPadOS 16.5.1 (c). Esses são os novos tipos de patches que a Apple começou a lançar em maio, com resultados mistos.

Os patches devem ser baixados e aplicados automaticamente para proteger imediatamente os dispositivos contra exploração, evitando assim o ciclo normal de atualização do sistema que os usuários podem adiar ou perder e, assim, deixar seu kit vulnerável. ®

Envie-nos novidades

1313Pegue os nossos13