A Apple lançou atualizações de segurança de emergência para corrigir duas vulnerabilidades de dia zero que afetam dispositivos iPhone, iPad e Mac, totalizando 20 correções desde o início do ano. Os bugs, identificados no mecanismo do navegador WebKit, foram explorados em ataques, permitindo aos invasores acessar informações confidenciais e executar código arbitrário.
Os dois bugs críticos foram descobertos pelo pesquisador de segurança Clément Lecigne, do Threat Analysis Group (TAG) do Google, destacando a importância da colaboração entre empresas na identificação e correção de falhas de segurança. As vulnerabilidades (CVE-2023-42916 e CVE-2023-42917) exploravam uma fraqueza de leitura fora dos limites e uma vulnerabilidade de corrupção de memória, permitindo ataques por meio de páginas da web contendo códigos maliciosos.
A Apple, em seu comunicado, afirmou ter corrigido as falhas nas versões mais recentes do iOS (17.1.2), iPadOS (17.1.2), macOS Sonoma (14.1.2) e Safari (17.1.2), fortalecendo a validação e o bloqueio de entrada para prevenir futuras explorações.
Detalhes das vulnerabilidades
As vulnerabilidades no WebKit, identificadas como CVE-2023-42916 e CVE-2023-42917, foram abordadas pela Apple por meio de melhorias na validação de entrada e bloqueio aprimorado. A CVE-2023-42916 envolvia uma leitura fora dos limites, enquanto a CVE-2023-42917 era uma vulnerabilidade de corrupção de memória. Ambas as falhas podiam ser exploradas em versões anteriores ao iOS 16.7.1, destacando a importância da atualização para os usuários.
O impacto das vulnerabilidades corrigidas nas atualizações é significativo, pois envolve o processamento de conteúdo da web, podendo levar à revelação de informações confidenciais e execução arbitrária de código. A empresa reforçou a importância da atualização imediata para garantir a segurança dos dispositivos e a proteção contra possíveis explorações.
Apple e a segurança do iOS 17.1.2 e iPadOS 17.1.2
A Apple, em sua documentação de segurança, fornece insights sobre o conteúdo das atualizações do iOS 17.1.2 e iPadOS 17.1.2. Destaca-se que a empresa mantém uma política de não divulgação de problemas de segurança até que uma investigação tenha ocorrido e correções estejam disponíveis, visando a proteção contínua de seus clientes.
A equipe de resposta de segurança da Apple emitiu um aviso, alertando que as vulnerabilidades CVE-2023-42916 e CVE-2023-42917 foram exploradas em versões anteriores ao iOS 16.7.1. O comunicado destaca a possibilidade de lançamento de ataques através de conteúdo malicioso da web e a necessidade urgente de instalar as atualizações disponíveis.
Dispositivos afetados
A extensa lista de dispositivos afetados inclui iPhone XS e modelos posteriores, iPad Pro de várias gerações, iPad Air, iPad de 6ª geração e posterior, iPad mini de 5ª geração e Macs executando macOS Monterey, Ventura e Sonoma.
Créditos e reconhecimento
A Apple creditou Clément Lecigne, do Threat Analysis Group (TAG) do Google, por encontrar e relatar ambas as vulnerabilidades. O papel ativo dos pesquisadores do Google na identificação de vulnerabilidades de dia zero ressalta a importância da colaboração entre empresas no cenário de segurança cibernética.
A colaboração entre empresas, evidenciada pela parceria entre a Apple e o Google, é essencial para fortalecer a segurança digital. A mensagem-chave para os usuários é a importância de manter seus dispositivos atualizados, garantindo assim uma experiência digital segura e protegida.