Nas suas mais recentes atualizações, a Apple corrigiu primeiro zero-day explorado em ataques deste ano. Confira os detalhes desses updates.
A Apple lançou atualizações de segurança para resolver a primeira vulnerabilidade zero-day deste ano explorada em ataques que poderiam afetar iPhones, Macs e Apple TVs.
Apple corrigiu primeiro zero-day explorado em ataques deste ano
O zero-day corrigido agora é rastreado como CVE-2024-23222 [ iOS , macOS , tvOS , Safari ] e é um problema de confusão do WebKit que os invasores podem explorar para obter execução de código em dispositivos direcionados.
A exploração bem-sucedida permite que os agentes de ameaças executem códigos maliciosos arbitrários em dispositivos que executam versões vulneráveis de iOS, macOS e tvOS após abrir uma página da web maliciosa.
Sobre a falha, a Apple disse que:
“O processamento de conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado.”
A empresa ainda não atribuiu a descoberta desta vulnerabilidade de segurança a um pesquisador de segurança. Embora a empresa tenha divulgado que está ciente da exploração em estado selvagem, ainda não publicou mais detalhes sobre esses ataques.
A Apple abordou o CVE-2024-23222 com verificações aprimoradas no iOS 16.7.5 e posterior, iPadOS 16.7.5 e posterior e macOS Monterey 12.7.3 e superior, bem como no tvOS 17.3 e posterior.
A lista completa de dispositivos afetados por este zero-day do WebKit é bastante extensa, pois o bug afeta modelos mais antigos e mais recentes, incluindo:
- iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5ª geração, iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas de 1ª geração
- iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior mais tarde
- Macs executando macOS Monterey e posterior
- Apple TV HD e Apple TV 4K (todos os modelos)
Embora essa vulnerabilidade zero-day provavelmente tenha sido usada apenas em ataques direcionados, é altamente recomendável instalar as atualizações de segurança atuais o mais rápido possível para bloquear possíveis tentativas de ataque.
Agora, a Apple também transferiu patches para modelos mais antigos de iPhone e iPad para dois outros zero-day do WebKit (CVE-2023-42916 e CVE-2023-42917) corrigidos em novembro para dispositivos mais novos.
No ano passado, a empresa corrigiu um total de 20 falhas zero-day exploradas em estado selvagem, incluindo:
- dois zero-day (CVE-2023-42916 e CVE-2023-42917) em novembro
- dois zero-day (CVE-2023-42824 e CVE-2023-5217) em outubro
- cinco zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) em setembro
- dois zero-day (CVE-2023-37450 e CVE-2023-38606) em julho
- três zero-day (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
- mais três zero-day (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
- dois zero-day (CVE-2023-28206 e CVE-2023-28205) em abril
- e outro zero-day do WebKit (CVE-2023-23529) em fevereiro
