Apple corrigiu uma nova falha zero-day do WebKit

Para evitar a exploração de um exploit, a Apple corrigiu uma nova falha zero-day do WebKit. Confira os detalhes dessa correção.

A Apple lançou atualizações de segurança de emergência para lidar com uma nova vulnerabilidade zero-day usada em ataques para hackear iPhones, iPads e Macs.

Apple corrigiu uma nova falha zero-day do WebKit

Apple corrigiu uma nova falha zero-day do WebKit

O patch do zero-day é rastreado como CVE-2023-23529 [1, 2] e é um problema de confusão do WebKit que pode ser explorado para acionar travamentos do sistema operacional e obter execução de código em dispositivos comprometidos.

A exploração bem-sucedida permite que invasores executem código arbitrário em dispositivos que executam versões vulneráveis do iOS, iPadOS e macOS após abrir uma página da Web maliciosa.

Ao descrever a falha zero-day, a Apple disse que:

“O processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.”

A Apple abordou o CVE-2023-23529 com verificações aprimoradas no iOS 16.3.1, iPadOS 16.3.1 e macOS Ventura 13.2.1.

A lista completa de dispositivos afetados é bastante extensa, pois o bug afeta modelos mais antigos e mais novos e inclui:

  • iPhone 8 e posterior
  • iPad Pro (todos os modelos), iPad Air 3ª geração e posterior, iPad 5ª geração e posterior e iPad mini 5ª geração e posterior
  • Macs rodando macOS Ventura

Agora, a Apple também corrigiu um uso do kernel após uma falha gratuita (CVE-2023-23514) relatada por Xinru Chi, do Pangu Lab, e Ned Williamson, do Google Project Zero, que poderia levar a um código arbitrário com privilégios de kernel em Macs e iPhones.

Embora a empresa tenha divulgado que está ciente dos relatórios de exploração na natureza, ela ainda não publicou informações sobre esses ataques.

Ao restringir o acesso a essas informações, a Apple provavelmente deseja permitir que o maior número possível de usuários atualize seus dispositivos antes que mais invasores descubram os detalhes do dia zero para desenvolver e implantar suas próprias explorações personalizadas direcionadas a iPhones, iPads e Macs vulneráveis.

Embora esse bug de dia zero provavelmente tenha sido usado apenas em ataques direcionados, é altamente recomendável instalar as atualizações de emergência de hoje o mais rápido possível para bloquear possíveis tentativas de ataque.

No mês passado, a Apple também forneceu patches de segurança para uma falha de dia zero explorável remotamente descoberta por Clément Lecigne, do Grupo de Análise de Ameaças do Google, para iPhones e iPads mais antigos.

Deixe um comentário

Sair da versão mobile