Através de suas atualizações de emergência, a Apple corrigiu falhas zero-day recentes em iPhones mais antigos.
A Apple emitiu atualizações de segurança de emergência para backport patches para duas falhas zero-day exploradas ativamente em iPhones mais antigos e alguns modelos Apple Watch e Apple TV.
Apple corrigiu falhas zero-day recentes em iPhones mais antigos
Sim. Apple corrigiu duas falhas zero-day recentes em iPhones mais antigos.
“A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS anteriores ao iOS 16.7.1”, disse a empresa em comunicados de segurança publicados na segunda-feira.
As duas vulnerabilidades, agora rastreadas como CVE-2023-42916 e CVE-2023-42917, foram descobertas no mecanismo do navegador WebKit, desenvolvido pela Apple e usado pelo navegador Safari da empresa em suas plataformas (por exemplo, macOS, iOS, iPadOS) .
Eles podem permitir que invasores obtenham acesso a dados confidenciais e executem códigos arbitrários usando páginas da Web criadas com códigos maliciosos, projetadas para explorar bugs fora dos limites e de corrupção de memória em dispositivos não corrigidos.
Agora, a Apple abordou o zero-day no iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 e watchOS 10.2 com validação e bloqueio de entrada aprimorados.
A empresa diz que os bugs agora também foram corrigidos na seguinte lista de dispositivos:
- iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air de 3ª geração e posterior, iPad de 5ª geração e posterior e iPad mini de 5ª geração e posterior
- Apple TV HD e Apple TV 4K (todos os modelos)
- Apple Watch Série 4 e posterior
Clément Lecigne, pesquisador de segurança do Threat Analysis Group (TAG) do Google, descobriu e relatou ambas as vulnerabilidades zero-day.
Embora a Apple ainda não tenha fornecido detalhes sobre a exploração das vulnerabilidades em ataques, os pesquisadores do Google TAG identificaram e divulgaram frequentemente informações sobre falhas zero-day empregadas em ataques de software de vigilância patrocinados pelo Estado, visando indivíduos de alto perfil, incluindo jornalistas, figuras da oposição, e dissidentes.
A CISA também ordenou que as agências do Poder Executivo Civil Federal (FCEB) na semana passada, em 4 de dezembro, corrigissem seus dispositivos contra essas duas vulnerabilidades de segurança com base em evidências de exploração ativa.
Desde o início do ano, a Apple corrigiu 20 vulnerabilidades de zero-day exploradas em ataques:
- Duas falhas zero-day (CVE-2023-42916 e CVE-2023-42917) em novembro
- Duas falhas zero-day (CVE-2023-42824 e CVE-2023-5217) em outubro
- Cinco falhas zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) em setembro
- Duas falhas zero-day (CVE-2023-37450 e CVE-2023-38606) em julho
- Três falhas zero-day (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
- mais três falhas zero-day (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
- Duas falhas zero-day (CVE-2023-28206 e CVE-2023-28205) em abril
- e outra falha zero-day do WebKit (CVE-2023-23529) em fevereiro