A Apple está pedindo aos usuários de macOS, iPhone e iPad que instalem imediatamente as respectivas atualizações nesta semana, que incluem correções para dois dias zero sob ataque ativo. Os patches são para vulnerabilidades que permitem que invasores executem códigos arbitrários e, por fim, assumam o controle dos dispositivos.
Patches estão disponíveis para dispositivos afetados executando iOS 15.6.1 e MacOS Monterey 12.5.1. Os patches abordam duas falhas, que basicamente afetam qualquer dispositivo da Apple que possa executar o iOS 15 ou a versão Monterey de seu sistema operacional de desktop, de acordo com as atualizações de segurança lançadas pela Apple na quarta-feira.
Uma das falhas é um bug do kernel (CVE-2022-32894), que está presente tanto no iOS quanto no macOS. De acordo com a Apple, é um “problema de gravação fora dos limites [que] foi resolvido com verificação de limites aprimorada”.
A vulnerabilidade permite que um aplicativo execute código arbitrário com privilégios de kernel, de acordo com a Apple, que, de maneira vaga, disse que há um relatório de que “pode ter sido explorado ativamente”.
A segunda falha é identificada como um bug do WebKit (rastreado como CVE-2022-32893), que é um problema de gravação fora dos limites que a Apple abordou com verificação de limites aprimorada. A falha permite o processamento de conteúdo da web mal-intencionado que pode levar à execução de código, e também foi relatado que está sob exploração ativa, de acordo com a Apple. WebKit é o mecanismo do navegador que alimenta o Safari e todos os outros navegadores de terceiros que funcionam no iOS.
Cenário semelhante a Pégaso
A descoberta de ambas as falhas, sobre as quais se sabe pouco mais além da divulgação da Apple, foi creditada a um pesquisador anônimo.
Um especialista expressou preocupação de que as últimas falhas da Apple “poderiam efetivamente dar aos invasores acesso total ao dispositivo”, eles podem criar um Tipo Pégaso cenário semelhante àquele em que os APTs dos estados-nação bombardearam alvos com spyware feito pelo israelense NSO Group explorando uma vulnerabilidade do iPhone.
“Para a maioria das pessoas: atualize o software até o final do dia”, twittou Rachel Tobac, CEO da SocialProof Security, sobre os dias zero. “Se o modelo de ameaça for elevado (jornalista, ativista, alvo de estados-nação etc.): atualize agora”, alertou Tobac.
Abundam os dias zero
As falhas foram reveladas ao lado de outras notícias do Google esta semana que estava remendando seu quinto dia zero até agora este ano para o navegador Chrome, um bug de execução de código arbitrário sob ataque ativo.
As notícias de ainda mais vulnerabilidades dos principais fornecedores de tecnologia sendo bombardeadas por agentes de ameaças demonstram que, apesar dos melhores esforços das empresas de tecnologia de primeira linha para resolver problemas de segurança perenes em seus softwares, continua sendo uma batalha difícil, observou Andrew Whaley, diretor técnico sênior da Promon, uma empresa norueguesa de segurança de aplicativos.
As falhas no iOS são especialmente preocupantes, dada a onipresença dos iPhones e a dependência total dos usuários de dispositivos móveis para suas vidas diárias, disse ele. No entanto, o ônus não é apenas dos fornecedores para proteger esses dispositivos, mas também para que os usuários estejam mais cientes das ameaças existentes, observou Whaley.
“Embora todos nós confiemos em nossos dispositivos móveis, eles não são invulneráveis e, como usuários, precisamos manter nossa guarda, assim como fazemos em sistemas operacionais de desktop”, disse ele em um e-mail ao Threatpost.
Ao mesmo tempo, os desenvolvedores de aplicativos para iPhones e outros dispositivos móveis também devem adicionar uma camada extra de controles de segurança em sua tecnologia para que sejam menos dependentes da segurança do sistema operacional para proteção, dadas as falhas que surgem com frequência, observou Whaley.
“Nossa experiência mostra que isso não está acontecendo o suficiente, potencialmente deixando os bancos e outros clientes vulneráveis”, disse ele.
- apple iPhone
- Vulnerabilidades da Apple
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- hacks
- Kaspersky
- malwares
- Mcafee
- Segurança móvel
- notícias
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- Postagem de Ameaça
- VPN
- vulnerabilidades
- a segurança do website
- zefirnet
