Para a segurança de seus clientes, a Apple corrigiu falha zero-day no WebKit que afeta iPhones antigos. Confira os detalhes dessa atualização.
Sim. A Apple lançou atualizações de segurança para patches de backport lançados no mês passado, abordando um bug zero-day explorado ativamente para iPhones e iPads mais antigos.
Apple corrigiu falha zero-day no WebKit que afeta iPhones antigos
A vulnerabilidade (CVE-2023-23529) é um problema de confusão do tipo WebKit que a empresa corrigiu em dispositivos iPhone e iPad mais recentes em 13 de fevereiro de 2023.
Os invasores em potencial podem usá-lo para acionar travamentos do sistema operacional e obter execução de código em dispositivos iOS e iPadOS comprometidos após a exploração bem-sucedida.
Os agentes de ameaças podem executar código arbitrário nos iPhones e iPads visados depois de induzir as vítimas a abrir páginas da Web maliciosas (esse bug também afeta o Safari 16.3.1 no macOS Big Sur e Monterey).
Apple descreve a zero-day assim:
“O processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.”
A Apple também abordou o dia zero no iOS 15.7.4 e iPadOS 15.7.4 hoje com verificações aprimoradas.
A lista de dispositivos afetados inclui dispositivos iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração).
Embora a Apple diga que está ciente de relatos de que essa vulnerabilidade foi explorada em ataques, a empresa ainda não publicou informações sobre esses incidentes.
No entanto, este é um procedimento padrão para a Apple ao divulgar patches de segurança para zero-days explorados na natureza.
Restringir o acesso a detalhes técnicos permite que o maior número possível de usuários proteja seus dispositivos e diminui os esforços dos invasores para desenvolver e implantar exploits adicionais direcionados a dispositivos vulneráveis.
Embora o dia zero CVE-2023-23529 provavelmente tenha sido usado apenas em ataques direcionados, é altamente recomendável instalar as atualizações de segurança de agora o mais rápido possível para bloquear possíveis tentativas de ataque direcionadas a usuários de dispositivos iPhone e iPad com software mais antigo.
Em janeiro, a Apple também forneceu patches para uma falha de dia zero explorável remotamente (relatada por Clément Lecigne, do Grupo de Análise de Ameaças do Google) para iPhones e iPads mais antigos.