Em mais uma investida contra esse tipo de vulnerabilidade, a Apple corrigiu uma falha zero-day em iPhones e iPads mais antigos.
A Apple lançou novas atualizações de segurança para os patches de backport lançados no início desta semana para iPhones e iPads mais antigos, abordando um bug de dia zero explorado ativamente.
Apple corrigiu uma falha zero-day em iPhones e iPads mais antigos
A vulnerabilidade (CVE-2022-42827) é a que a Apple corrigiu para dispositivos iPhone e iPad nesta segunda-feira, 24 de outubro. Invasores em potencial podem usá-la para executar código arbitrário com privilégios de kernel se exploradas com sucesso em ataques.
O problema de gravação fora dos limites (out-of-bounds write) foi relatado à Apple por um pesquisador anônimo e é causado pelo software capaz de gravar dados fora dos limites do buffer de memória.
Isso pode resultar em corrupção de dados, falhas de aplicativos e execução de código devido a resultados indefinidos ou inesperados (também conhecidos como corrupção de memória) de dados subsequentes gravados no buffer.
A Apple abordou a vulnerabilidade de dia zero no iOS 15.7.1 e iPadOS 15.7.1 hoje com verificação de limites aprimorada.
A lista de dispositivos afetados inclui iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).
A Apple divulgou que a falha de segurança “pode ter sido ativamente explorada”, mas ainda não divulgou informações sobre esses ataques.
Embora esse dia zero provavelmente tenha sido usado apenas em ataques direcionados, é altamente recomendável corrigir dispositivos ainda mais antigos o mais rápido possível para bloquear possíveis tentativas de ataque.
A CISA também adicionou esse dia zero ao seu catálogo de vulnerabilidades exploradas conhecidas em 25 de outubro, o que exige que as agências do Federal Civilian Executive Branch (FCEB) o corrijam para protegê-lo “contra ameaças ativas”.
Este é o nono dia zero que a Apple corrigiu desde o início deste ano:
- Em setembro, a Apple corrigiu uma falha no kernel do iOS (CVE-2022-32917).
- Em agosto, corrigiu mais dois dias zero no Kernel do iOS (CVE-2022-32894) e no WebKit (CVE-2022-32893)
- Em março, a Apple corrigiu dois zero-day no Intel Graphics Driver (CVE-2022-22674) e AppleAVD (CVE-2022-22675).
- Em fevereiro, a Apple lançou atualizações de segurança para resolver outro bug de dia zero do WebKit explorado para atingir iPhones, iPads e Macs.
- Em janeiro, a Apple corrigiu outro par de zero-days permitindo a execução de código com privilégios de kernel (CVE-2022-22587) e rastreamento de atividade de navegação na web (CVE-2022-22594).
