Apple corrigiu a falha zero-day usada para hackear iPhones, iPads e Macs

Para proteger seus usuários de possíveis ataques, a Apple corrigiu a falha zero-day usada para hackear iPhones, iPads e Macs.

A Apple lançou atualizações de segurança para corrigir uma nova vulnerabilidade de dia zero explorada por invasores para hackear iPhones, iPads e Macs.

Apple corrigiu a falha zero-day usada para hackear iPhones, iPads e Macs

Apple corrigiu a falha zero-day usada para hackear iPhones, iPads e Macs

A falha zero-day corrigido hoje é rastreada como CVE-2022-22620 [1, 2] e é um problema do WebKit Use After Free que pode levar a falhas no sistema operacional e execução de código em dispositivos comprometidos.

A exploração bem-sucedida desse bug permite que os invasores executem código arbitrário em iPhones e iPads que executam versões vulneráveis ​​de iOS e iPadOS após processar conteúdo da Web criado com códigos maliciosos.

“A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”, disse a empresa ao descrever a falha zero-day.

A Apple abordou o CVE-2022-22620 com gerenciamento de memória aprimorado no iOS 15.3.1, iPadOS 15.3.1 e macOS Monterey 12.2.1.

A lista completa de dispositivos afetados é bastante extensa, pois o bug afeta modelos mais antigos e mais recentes e inclui:

  • iPhone 6s e posterior,
  • iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração)
  • Macs executando o macOS Monterey

Embora essa falha zero-day provavelmente tenha sido usado apenas em ataques direcionados, ainda é altamente recomendável instalar as atualizações o mais rápido possível para bloquear possíveis tentativas de ataque.

Em janeiro, a Apple corrigiu dois outras falha zero-day explorados em estado selvagem que poderiam permitir que os agentes de ameaças obtivessem a execução arbitrária de código com privilégios de kernel (CVE-2022-22587) e rastreassem a atividade de navegação e as identidades dos usuários em tempo real (CVE-2022 -22594).

Esses dois primeiros dias zero afetaram iPhones (iPhone 6s e superior), Macs executando o macOS Monterey e vários modelos de iPads.

Embora a Apple tenha corrigido apenas três dias zero desde o início de 2022, a empresa teve que lidar com um fluxo quase interminável de dias zero explorados para atingir dispositivos iOS, iPadOS e macOS.

A lista inclui várias falhas de dia zero usadas para instalar o spyware Pegasus da NSO em iPhones pertencentes a jornalistas, ativistas e políticos.

Deixe um comentário

Sair da versão mobile