Não é mais apenas um update comum da Apple, essa atualização corrige falhas zero-day usadas para hackear iPhones e Macs.
A Apple lançou atualizações de segurança para resolver duas vulnerabilidades zero-day exploradas por invasores para hackear iPhones, iPads e Macs.
Atualização corrige falhas zero-day usadas para hackear iPhones e Macs
Os bugs de segurança zero-day são falhas que o fornecedor de software desconhece e não corrigiu. Em alguns casos, eles também têm explorações de prova de conceito publicamente disponíveis ou podem ser exploradas ativamente na natureza.
Em alertas de segurança publicados recentemente, a Apple disse que está ciente dos relatórios de que os problemas “podem ter sido explorados ativamente”.
As duas falhas são um problema de gravação fora dos limites (CVE-2022-22674) no driver de gráficos Intel que permite que os aplicativos leiam a memória do kernel e um problema de leitura fora dos limites (CVE-2022-22675) no AppleAVD decodificador de mídia que permitirá que aplicativos executem código arbitrário com privilégios de kernel.
Os bugs foram relatados por pesquisadores anônimos e corrigidos pela Apple no iOS 15.4.1, iPadOS 15.4.1 e macOS Monterey 12.3.1 com validação de entrada aprimorada e verificação de limites, respectivamente.
A lista de dispositivos afetados inclui:
- Macs executando o macOS Monterey
- iPhone 6s e posterior
- iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).
A Apple divulgou exploração ativa em estado selvagem, no entanto, não divulgou nenhuma informação adicional sobre esses ataques.
A retenção dessas informações provavelmente foi projetada para permitir que as atualizações de segurança alcancem o maior número possível de iPhones, iPads e Macs antes que os invasores percebam os detalhes e comecem a abusar dos zero-day agora corrigidos.
Embora esses dias zero provavelmente tenham sido usados apenas em ataques direcionados, ainda é altamente recomendável instalar as atualizações de segurança de hoje o mais rápido possível para bloquear possíveis tentativas de ataque.
Em janeiro, a Apple corrigiu dois zero-day mais ativamente explorados que podem permitir que invasores obtenham execução arbitrária de código com privilégios de kernel (CVE-2022-22587) e rastreiem a atividade de navegação na Web e as identidades dos usuários em tempo real (CVE-2022- 22594).
Em fevereiro, a Apple lançou atualizações de segurança para corrigir um novo bug de dia zero explorado para hackear iPhones, iPads e Macs, levando a falhas no sistema operacional e execução remota de código em dispositivos comprometidos após o processamento de conteúdo da web mal-intencionado.
Esses três primeiros dias zero também afetaram iPhones (iPhone 6s e superior), Macs com macOS Monterey e vários modelos de iPad.
A empresa também teve que lidar com um fluxo quase interminável de dias zero explorados na natureza para atingir dispositivos iOS, iPadOS e macOS ao longo de 2021.
Essa lista inclui várias falhas usadas para implantar o spyware Pegasus da NSO em iPhones pertencentes a jornalistas, ativistas e políticos.
