Em sua mais recente atualização, a Apple corrigiu a nona vulnerabilidade zero-day usada em ataques contra iPhones e iPads.
Sim. Em atualizações de segurança divulgadas na segunda-feira, a Apple corrigiu a nona vulnerabilidade zero-day usada em ataques contra iPhones desde o início do ano.
Apple corrigiu a nona vulnerabilidade zero-day usada em ataques contra iPhones e iPads
A Apple revelou em um comunicado que está ciente de relatórios dizendo que a falha de segurança “pode ter sido ativamente explorada”.
O bug (CVE-2022-42827) é um problema de out-of-bounds write (gravação fora dos limites) relatado à Apple por um pesquisador anônimo e causado por dados de gravação de software fora dos limites do buffer de memória atual.
Isso pode resultar em corrupção de dados, falhas no aplicativo ou execução de código devido a resultados indefinidos ou inesperados (também conhecidos como corrupção de memória) resultantes de dados subsequentes gravados no buffer.
Como a Apple explica, se explorado com sucesso em ataques, esse zero-day poderia ter sido usado por invasores em potencial para executar código arbitrário com privilégios de kernel.
A lista completa de dispositivos afetados inclui iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air 3ª geração e posterior, iPad 5ª geração e posterior e iPad mini 5ª geração e posterior.
A Apple abordou a vulnerabilidade de zero-day no iOS 16.1 e iPadOS 16 com verificação de limites aprimorada.
Embora a Apple tenha divulgado que conhece relatórios de exploração ativa dessa vulnerabilidade, ela ainda não divulgou nenhuma informação sobre esses ataques.
Isso provavelmente permitirá que os clientes da Apple corrijam seus dispositivos antes que mais invasores desenvolvam explorações adicionais e comecem a usá-los em ataques direcionados a iPhones e iPads vulneráveis.
Embora esse bug de zero-day provavelmente tenha sido usado apenas em ataques altamente direcionados, é altamente recomendável instalar as atualizações de segurança atuais para bloquear qualquer tentativa de ataque.
Este é o nono zero-day fixado pela Apple desde o início do ano:
- Em setembro, a Apple corrigiu uma falha no kernel do iOS (CVE-2022-32917).
- Em agosto, corrigiu mais dois dias zero no Kernel do iOS (CVE-2022-32894) e no WebKit (CVE-2022-32893)
- Em março, a Apple corrigiu dois zero-day no Intel Graphics Driver (CVE-2022-22674) e AppleAVD (CVE-2022-22675).
- Em fevereiro, a Apple lançou atualizações de segurança para resolver outro bug de zero-day do WebKit explorado para atingir iPhones, iPads e Macs.
- Em janeiro, a Apple corrigiu outro par de zero-days permitindo a execução de código com privilégios de kernel (CVE-2022-22587) e rastreamento de atividade de navegação na web (CVE-2022-22594).