No capítulo mais recente da guerra com os hakers, a Apple corrigiu 2 vulnerabilidades 0-day do iOS que estavam sendo usadas em ataques.
O Webkit é o mecanismo de renderização do navegador da Apple que deve ser usado por todos os navegadores da web móveis no iOS e outros aplicativos que renderizam HTML, como Apple Mail e App Store.
Agora, a Apple lançou atualizações de segurança que corrigem duas vulnerabilidades de dia zero do iOS exploradas ativamente no mecanismo Webkit usado por hackers para atacar iPhones, iPads, iPods, macOS e dispositivos Apple Watch.
Apple corrigiu 2 vulnerabilidades 0-day do iOS que estavam sendo usadas em ataques
Essas vulnerabilidades são rastreadas como CVE-2021-30665 e CVE-2021-30663, e ambas permitem a execução remota de código arbitrário (RCE) em dispositivos vulneráveis simplesmente visitando um site malicioso.
As vulnerabilidades RCE são consideradas as mais perigosas, pois permitem que os invasores visem dispositivos vulneráveis e executem comandos remotamente.
“A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”, disse a empresa em vários comunicados de segurança publicados.
CVE-2021-30665 foi descoberto por Yang Kang, zerokeeper e Bian Liang da Qihoo 360 ATA, enquanto CVE-2021-30663 foi relatado à Apple por um pesquisador que deseja permanecer anônimo.
A lista de dispositivos afetados inclui:
- iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad de 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração)
- macOS Big Sur
- Apple Watch Series 3 e posterior
A vulnerabilidades zero-day foram resolvidos pela Apple com nas atualizações do iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1 e watchOS 7.4.1.
Esta atualização também resolveu um bug que impedia os usuários de verem solicitações de Transparência de rastreamento de aplicativos dentro dos aplicativos.
Em suas notas de lançamento do iOS 14.5.1. a Apple afirmou que:
“Esta atualização corrige um problema com a Transparência de rastreamento de aplicativos, em que alguns usuários que desabilitaram a opção Permitir que aplicativos solicitem rastreamento nas configurações podem não receber solicitações de aplicativos após reativá-la”
A Apple tem lidado com um fluxo de vulnerabilidades zero-day exploradas ativamente nos últimos meses, com uma corrigida no macOS no mês passado e várias outras vulnerabilidades do iOS corrigidas nos meses anteriores.