E a Apple corrigiu duas novas falhas zero-day do iOS que estavam sendo exploradas em iPhones. Confira os detalhes dessas vulnerabilidades.
A Apple lançou atualizações de segurança de emergência para corrigir duas vulnerabilidades zero-day do iOS que foram exploradas em ataques a iPhones.
Apple corrigiu duas novas falhas zero-day do iOS
Os dois bugs foram encontrados no kernel do iOS (CVE-2024-23225) e no RTKit (CVE-2024-23296), ambos permitindo que invasores com recursos arbitrários de leitura e gravação do kernel contornem as proteções de memória do kernel.
A empresa afirma que corrigiu as falhas de segurança em dispositivos que executam iOS 17.4 , iPadOS 17.4 , iOS 16.76 e iPad 16.7.6 com validação de entrada aprimorada.
“A Apple está ciente de um relatório de que esse problema pode ter sido explorado”, disse a empresa em comunicado divulgado na terça-feira.
A lista de dispositivos Apple afetados é bastante extensa e inclui:
- iPhone XS e posterior, iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5ª geração, iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas de 1ª geração
- iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior
A Apple não divulgou quem divulgou os dois zero-day ou se eles foram descobertos internamente.
Embora a Apple não tenha divulgado informações sobre a exploração contínua, as vulnerabilidades zero-day do iOS são comumente usadas em ataques de spyware patrocinados pelo Estado contra indivíduos de alto risco, como jornalistas, políticos da oposição e dissidentes.
Embora essas vulnerabilidades zero-day provavelmente tenham sido usadas apenas em ataques direcionados, é altamente recomendável instalar as atualizações de segurança atuais o mais rápido possível para bloquear possíveis tentativas de ataque.
WebKitCom essas duas vulnerabilidades, a Apple corrigiu três zero-day até agora em 2024, sendo o primeiro em janeiro.
No ano passado, a empresa corrigiu um total de 20 falhas zero-day exploradas à solta, incluindo:
- dois zero-day (CVE-2023-42916 e CVE-2023-42917) em novembro
- dois zero-day (CVE-2023-42824 e CVE-2023-5217) em outubro
- cinco zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) em setembro
- dois zero-day (CVE-2023-37450 e CVE-2023-38606) em julho
- três zero-day (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
- mais três zero-day (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
- dois zero-day (CVE-2023-28206 e CVE-2023-28205) em abril
- e outro zero-day do WebKit (CVE-2023-23529) em fevereiro