Apple corrigiu primeiro zero-day explorado em ataques deste ano

Nas suas mais recentes atualizações, a Apple corrigiu primeiro zero-day explorado em ataques deste ano. Confira os detalhes desses updates.

A Apple lançou atualizações de segurança para resolver a primeira vulnerabilidade zero-day deste ano explorada em ataques que poderiam afetar iPhones, Macs e Apple TVs.

Apple corrigiu primeiro zero-day explorado em ataques deste ano

Apple corrigiu primeiro zero-day explorado em ataques deste ano

O zero-day corrigido agora é rastreado como CVE-2024-23222 [ iOS , macOS , tvOS , Safari ] e é um problema de confusão do WebKit que os invasores podem explorar para obter execução de código em dispositivos direcionados.

A exploração bem-sucedida permite que os agentes de ameaças executem códigos maliciosos arbitrários em dispositivos que executam versões vulneráveis de iOS, macOS e tvOS após abrir uma página da web maliciosa.

Sobre a falha, a Apple disse que:

“O processamento de conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado.”

A empresa ainda não atribuiu a descoberta desta vulnerabilidade de segurança a um pesquisador de segurança. Embora a empresa tenha divulgado que está ciente da exploração em estado selvagem, ainda não publicou mais detalhes sobre esses ataques.

A Apple abordou o CVE-2024-23222 com verificações aprimoradas no iOS 16.7.5 e posterior, iPadOS 16.7.5 e posterior e macOS Monterey 12.7.3 e superior, bem como no tvOS 17.3 e posterior.

A lista completa de dispositivos afetados por este zero-day do WebKit é bastante extensa, pois o bug afeta modelos mais antigos e mais recentes, incluindo:

  • iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5ª geração, iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas de 1ª geração
  • iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior mais tarde
  • Macs executando macOS Monterey e posterior
  • Apple TV HD e Apple TV 4K (todos os modelos)

Embora essa vulnerabilidade zero-day provavelmente tenha sido usada apenas em ataques direcionados, é altamente recomendável instalar as atualizações de segurança atuais o mais rápido possível para bloquear possíveis tentativas de ataque.

Agora, a Apple também transferiu patches para modelos mais antigos de iPhone e iPad para dois outros zero-day do WebKit (CVE-2023-42916 e CVE-2023-42917) corrigidos em novembro para dispositivos mais novos.

No ano passado, a empresa corrigiu um total de 20 falhas zero-day exploradas em estado selvagem, incluindo:

  • dois zero-day (CVE-2023-42916 e CVE-2023-42917) em novembro
  • dois zero-day (CVE-2023-42824 e CVE-2023-5217) em outubro
  • cinco zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) em setembro
  • dois zero-day (CVE-2023-37450 e CVE-2023-38606) em julho
  • três zero-day (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
  • mais três zero-day (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
  • dois zero-day (CVE-2023-28206 e CVE-2023-28205) em abril
  • e outro zero-day do WebKit (CVE-2023-23529) em fevereiro

Deixe um comentário

Sair da versão mobile