E uma correção para iOS corrige falha zero-day em iPhones mais antigos, por meio das novas atualizações de segurança de backport da Apple.
Sim. A Apple lançou novas atualizações de segurança para os patches de backport lançados no início deste mês para iPhones e iPads mais antigos, abordando um WebKit de dia zero explorável remotamente que permite que invasores executem códigos arbitrários em dispositivos não corrigidos.
Correção para iOS corrige falha zero-day em iPhones mais antigos
Essa vulnerabilidade de zero-day é a mesma que a Apple corrigiu para dispositivos macOS Monterey e iPhone/iPad em 17 de agosto e para o Safari em 18 de agosto.
A falha é rastreada como CVE-2022-3289 e é uma vulnerabilidade de gravação fora dos limites no WebKit, o mecanismo de navegador da web usado pelo Safari e outros aplicativos para acessar a web.
Se explorado com sucesso, ele permite que os invasores executem remotamente a execução de código arbitrário, enganando seus alvos para que visitem um site criado com códigos maliciosos sob seu controle.
Em um comunicado de segurança publicado recentemente, a Apple disse mais uma vez que está ciente dos relatos de que esse problema de segurança “pode ter sido explorado ativamente”.
A lista de dispositivos aos quais as atualizações de segurança de hoje se aplicam inclui iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração), todos executando o iOS 12.5.6.
Embora a Apple tenha divulgado que recebeu relatórios de exploração ativa na natureza, a empresa ainda não divulgou informações sobre esses ataques.
Ao reter essas informações, a Apple provavelmente pretende permitir que o maior número possível de usuários aplique as atualizações de segurança antes que outros invasores percebam os detalhes do dia zero e comecem a implantar explorações em seus próprios ataques direcionados a iPhones e iPads vulneráveis.
Embora essa vulnerabilidade de dia zero provavelmente tenha sido usada apenas em ataques direcionados, ainda é altamente recomendável instalar as atualizações de segurança atuais do iOS o mais rápido possível para bloquear possíveis tentativas de ataque.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) também adicionou esse bug de segurança ao seu catálogo de vulnerabilidades exploradas em 19 de agosto, exigindo que as agências do Federal Civilian Executive Branch (FCEB) o corrigissem para protegê-lo “contra ameaças ativas”.
Este é o sétimo bug de dia zero corrigido pela Apple desde o início do ano:
- Em março, a Apple corrigiu dois bugs de dia zero no Intel Graphics Driver (CVE-2022-22674) e AppleAVD (CVE-2022-22675).
- Em fevereiro, a Apple lançou atualizações de segurança para corrigir outro bug de dia zero do WebKit explorado em ataques contra iPhones, iPads e Macs.
- Em janeiro, a Apple corrigiu dois outros dias zero explorados que permitiram a execução de código com privilégios de kernel (CVE-2022-22587) e rastreamento de atividade de navegação na web (CVE-2022-22594).
