Continuando sua luta pra eliminar vulnerabilidades, a Apple corrigiu novas falhas zero-day em dispositivos mais antigos.
A Apple lançou atualizações de emergência para patches de segurança de backport lançados na sexta-feira, abordando duas falhas zero-day exploradas ativamente que também afetam iPhones, iPads e Macs mais antigos.
Apple corrigiu novas falhas zero-day em dispositivos mais antigos
Sim. A Apple corrigiu novas falhas zero-day em dispositivos mais antigos. Em alertas de segurança publicados na segunda-feira, a empresa disse que “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.”
O primeiro (rastreado como CVE-2023-28206) é uma falha de gravação fora dos limites no IOSurfaceAccelerator que permite que os agentes de ameaças executem código arbitrário com privilégios de kernel em dispositivos de destino por meio de aplicativos criados com códigos maliciosos.
O segundo zero-day (CVE-2023-28205) é um uso do WebKit depois de gratuito que pode permitir que agentes de ameaças executem códigos maliciosos em iPhones, Macs ou iPads comprometidos depois de enganar seus alvos para que carreguem páginas da web maliciosas.
Agora, a Apple abordou falhas zero-day no iOS 15.7.5 e iPadOS 15.7.5, macOS Monterey 12.6.5, e macOS Big Sur 11.7.6 melhorando a validação de entrada e o gerenciamento de memória.
A empresa diz que os bugs agora também foram corrigidos na seguinte lista de dispositivos:
- iPhone 6s (todos os modelos),
- iPhone 7 (todos os modelos),
- iPhone SE (1ª geração),
- iPad Air 2,
- iPad mini (4ª geração),
- iPod touch (7ª geração),
- e Macs rodando macOS Monterey e Big Sur.
As falhas foram relatadas por pesquisadores de segurança do Grupo de Análise de Ameaças do Google e do Laboratório de Segurança da Anistia Internacional (Google’s Threat Analysis Group e Amnesty International’s Security Lab), que as descobriram sendo exploradas em ataques como parte de uma cadeia de exploração.
Ambas as organizações frequentemente informam sobre agentes de ameaças apoiados pelo governo que usam táticas e vulnerabilidades semelhantes para instalar spyware nos dispositivos de indivíduos de alto risco em todo o mundo, como jornalistas, políticos e dissidentes.
Por exemplo, eles recentemente compartilharam detalhes sobre campanhas que abusam de duas cadeias de exploração visando bugs do Android, iOS e Chrome para instalar malware de vigilância comercial.
A CISA também ordenou que as agências federais corrigissem seus dispositivos contra essas duas vulnerabilidades de segurança, conhecidas como sendo ativamente exploradas na selva para hackear iPhones, Macs e iPads.
Em meados de fevereiro, a Apple corrigiu outro zero-day do WebKit (CVE-2023-23529) que estava em ataques para acionar travamentos e obter execução de código em dispositivos iOS, iPadOS e macOS vulneráveis.