E a Apple corrigiu nova falha zero-day usada para hackear iPhones e que é rastreada como CVE-2022-42856. Confiras os detalhes e atualize.
Sim. Nas atualizações de segurança lançadas recentemente, a Apple corrigiu a décima vulnerabilidade zero-day desde o início do ano, sendo esta última usada ativamente em ataques contra iPhones.
Apple corrigiu nova falha zero-day usada para hackear iPhones
A vulnerabilidade foi divulgada em boletins de segurança divulgados recentemente para iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 e macOS Ventura 13.1, com a Apple alertando que a falha “pode ter sido explorada ativamente” em versões anteriores.
O bug (CVE-2022-42856) é um problema de confusão de tipo no mecanismo de navegação do navegador da web Webkit da Apple.
A falha foi descoberta por Clément Lecigne, do Grupo de Análise de Ameaças do Google, permitindo que o conteúdo da web criado com códigos maliciosos execute a execução de código arbitrário em um dispositivo vulnerável.
A execução arbitrária de código pode permitir que o site mal-intencionado execute comandos no sistema operacional, implante malware ou spyware adicional ou execute outras ações mal-intencionadas.
A Apple corrigiu a vulnerabilidade de dia zero com tratamento de estado aprimorado para os seguintes dispositivos iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).
Embora a Apple tenha divulgado que os agentes de ameaças exploraram ativamente a vulnerabilidade, eles ainda não forneceram detalhes sobre os ataques.
No entanto, como a vulnerabilidade foi descoberta por Clément Lecigne, da equipe de inteligência contra ameaças do Google, provavelmente aprenderemos mais em uma futura postagem no blog.
Esse atraso no fornecimento de detalhes geralmente é feito para permitir que os usuários corrijam seus dispositivos antes que outros agentes de ameaças analisem as correções e desenvolvam suas próprias explorações.
Embora essa falha de dia zero provavelmente tenha sido usada em ataques altamente direcionados, ainda é recomendável instalar as atualizações de segurança atuais o mais rápido possível.
Este é o décimo dia zero fixado pela Apple desde o início do ano:
- Em outubro, a Apple corrigiu um dia zero no Kernel do iOS (CVE-2022-42827).
- Em setembro, a Apple corrigiu uma falha no Kernel do iOS (CVE-2022-32917).
- Em agosto, corrigiu mais dois dias zero no iOS Kernel (CVE-2022-32894) e WebKit (CVE-2022-32893)
- Em março, a Apple corrigiu dois zero-day no driver de gráficos Intel (CVE-2022-22674) e AppleAVD (CVE-2022-22675).
- Em fevereiro, a Apple lançou atualizações de segurança para resolver outro bug de dia zero do WebKit explorado para atingir iPhones, iPads e Macs.
- Em janeiro, a Apple corrigiu outro par de dias zero, permitindo a execução de código com privilégios de kernel (CVE-2022-22587) e rastreamento de atividades de navegação na web (CVE-2022-22594).
