Apple corrigiu falha zero-day no WebKit que afeta iPhones antigos

Para a segurança de seus clientes, a Apple corrigiu falha zero-day no WebKit que afeta iPhones antigos. Confira os detalhes dessa atualização.

Sim. A Apple lançou atualizações de segurança para patches de backport lançados no mês passado, abordando um bug zero-day explorado ativamente para iPhones e iPads mais antigos.

Apple corrigiu falha zero-day no WebKit que afeta iPhones antigos

Apple corrigiu falha zero-day no WebKit que afeta iPhones antigos
Apple corrigiu falha zero-day no WebKit que afeta iPhones antigos

A vulnerabilidade (CVE-2023-23529) é um problema de confusão do tipo WebKit que a empresa corrigiu em dispositivos iPhone e iPad mais recentes em 13 de fevereiro de 2023.

Os invasores em potencial podem usá-lo para acionar travamentos do sistema operacional e obter execução de código em dispositivos iOS e iPadOS comprometidos após a exploração bem-sucedida.

Os agentes de ameaças podem executar código arbitrário nos iPhones e iPads visados depois de induzir as vítimas a abrir páginas da Web maliciosas (esse bug também afeta o Safari 16.3.1 no macOS Big Sur e Monterey).

Apple descreve a zero-day assim:

“O processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.”

A Apple também abordou o dia zero no iOS 15.7.4 e iPadOS 15.7.4 hoje com verificações aprimoradas.

A lista de dispositivos afetados inclui dispositivos iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração).

Embora a Apple diga que está ciente de relatos de que essa vulnerabilidade foi explorada em ataques, a empresa ainda não publicou informações sobre esses incidentes.

No entanto, este é um procedimento padrão para a Apple ao divulgar patches de segurança para zero-days explorados na natureza.

Restringir o acesso a detalhes técnicos permite que o maior número possível de usuários proteja seus dispositivos e diminui os esforços dos invasores para desenvolver e implantar exploits adicionais direcionados a dispositivos vulneráveis.

Embora o dia zero CVE-2023-23529 provavelmente tenha sido usado apenas em ataques direcionados, é altamente recomendável instalar as atualizações de segurança de agora o mais rápido possível para bloquear possíveis tentativas de ataque direcionadas a usuários de dispositivos iPhone e iPad com software mais antigo.

Em janeiro, a Apple também forneceu patches para uma falha de dia zero explorável remotamente (relatada por Clément Lecigne, do Grupo de Análise de Ameaças do Google) para iPhones e iPads mais antigos.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.