A Apple anunciou na terça-feira (5) a liberação de atualizações de segurança de emergência destinadas a corrigir duas vulnerabilidades críticas, identificadas como “dias zero”, nos sistemas operacionais iOS e iPadOS. Estas falhas estavam sendo ativamente exploradas em ataques contra usuários de iPhones, colocando em risco informações sensíveis e a integridade dos dispositivos afetados.
A primeira vulnerabilidade, registrada sob o identificador CVE-2024-23225, foi encontrada no kernel do iOS, enquanto a segunda, marcada como CVE-2024-23296, afetava o RTKit. Ambas as falhas permitiam que atacantes realizassem operações de leitura e escrita arbitrárias no kernel do sistema, contornando as proteções de memória implementadas para salvaguardar os dispositivos. A gravidade dessas vulnerabilidades ressalta a capacidade de permitirem que invasores potencialmente assumam o controle dos dispositivos afetados.
Para combater estas ameaças, a Apple disponibilizou atualizações de segurança para as versões iOS 17.4, iPadOS 17.4, iOS 16.76, e iPad 16.7.6, prometendo mitigar os riscos através de uma validação de entrada aprimorada. A ampla gama de dispositivos afetados inclui desde o iPhone XS, iPhone 8, e modelos mais recentes, até diversas gerações de iPads, destacando a importância desta atualização para um vasto número de usuários da Apple ao redor do mundo.
Dispositivos Apple afetados
A lista de dispositivos Apple afetados inclui:
- iPhone XS e posterior
- iPhone 8, iPhone 8 Plus, iPhone X
- iPad de 5ª geração
- iPad Pro de 9,7 polegadas
- iPad Pro de 12,9 polegadas de 1ª geração
- iPad Pro de 12,9 polegadas de 2ª geração e posterior
- iPad Pro de 10,5 polegadas
- iPad Pro de 11 polegadas de 1ª geração e posterior
- iPad Air de 3ª geração e posterior
- iPad de 6ª geração e posterior
- iPad mini de 5ª geração e posterior
A empresa não especificou a origem da descoberta dessas vulnerabilidades, seja por meio de pesquisadores externos ou por investigações internas, nem divulgou detalhes sobre os ataques que levaram à exploração das mesmas. No entanto, é bem conhecido que vulnerabilidades do tipo dia zero são frequentemente utilizadas em ataques de spyware patrocinados por estados contra alvos de alto perfil, como jornalistas, políticos e ativistas, evidenciando a criticidade dessas atualizações para a proteção dos usuários contra espionagem e outras formas de intrusão maliciosa.
A Apple tem um histórico proativo de endereçamento de vulnerabilidades de segurança, tendo corrigido três dias zero somente em 2024 e um total de 20 falhas exploradas no ano anterior. Essa postura enfatiza o compromisso da empresa com a segurança de seus usuários, além de sublinhar a constante batalha contra agentes mal-intencionados que buscam explorar brechas em sistemas amplamente utilizados.
A empresa também detalhou as correções em seu documento de conteúdo de segurança para iOS 17.4 e iPadOS 17.4, lançados em 5 de março de 2024, que incluem não só correções para as vulnerabilidades mencionadas, mas também melhorias em outras áreas, como a privacidade de informações de localização e a gestão de estado na navegação privada do Safari.
De acordo com o comunicado da Apple, é essencial instalar as atualizações de segurança disponíveis o mais rápido possível para proteger seus dispositivos contra possíveis ataques explorando estas vulnerabilidades recém-corrigidas.
