Apple lança patches de segurança urgentes para iOS e iPadOS focando em segurança e navegação

Apple lança iOS 17.2 e iPad 17.2 com 11 correções de segurança, incluindo execução de código e escapes de área restrita. Proteja-se contra ameaças cibernéticas.
14/12/2023 às 17:42 | Atualizado há 11 meses

A Apple lançou nesta segunda-feira, 11, atualizações de segurança para o iOS e o iPadOS visando resolver várias vulnerabilidades graves que expõem os usuários móveis a ataques hackers. As versões mais recentes dos sistemas operacionais, o iOS 17.2 e iPad 17.2, contêm correções para o menos 11 falhas de segurança documentadas, algumas graves o suficiente para levar à execução arbitrária de código ou fugas de área restrita de aplicativos.

De acordo com um comunicado da equipe de resposta de segurança da Apple, o problema mais sério é uma corrupção de memória na ImageIO (biblioteca Python) que pode levar à execução arbitrária de código quando determinadas imagens são processadas.

O lançamento do iOS 17.2 também aborda uma falha de execução de código no mecanismo de renderização do WebKit e um problema de segurança de memória que permite que os aplicativos saiam da área restrita do dispositivo.

A empresa também corrigiu um problema de privacidade em Accounts, um problema de divulgação de informações no AVEVideoEncoder, um kit de extensão que permite acesso a dados confidenciais do usuário e uma falha da Siri que permite que um invasor com acesso físico use o bot de voz para acessar dados confidenciais do usuário.

A Apple também lançou o iOS 16.7.3 e o iPadOS 16.7.3 para fornecer um lote de correções de segurança para dispositivos que executam versões mais antigas do sistema operacional. Essas atualizações também incluem correções para zero-days do WebKit documentado anteriormente capturados por meio de exploração.

A fabricante também emitiu atualizações de segurança de emergência para patches de backport para duas falhas de dia zero exploradas ativamente em iPhones mais antigos e alguns modelos do Apple Watch e Apple TV.

As duas vulnerabilidades, rastreadas como CVE-2023-42916 e CVE-2023-42917, foram descobertas dentro do mecanismo de navegador WebKit, desenvolvido pela Apple e usado pelo navegador Safari em suas plataformas — por exemplo, macOS, iOS, iPadOS. Elas podem permitir que invasores obtenham acesso a dados confidenciais e executem código arbitrário usando páginas da web criadas com códigos maliciosos projetados para explorar bugs fora dos limites e de corrupção de memória em dispositivos sem patch.

A empresa diz que os bugs foram corrigidos na seguinte lista de dispositivos:

  • iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air 3ª geração e posterior, iPad 5ª geração e posterior e iPad mini 5ª geração e posterior
  • Apple TV HD e Apple TV 4K (todos os modelos)
  • Apple Watch Series 4 e posterior

Embora a Apple ainda não tenha fornecido detalhes sobre a exploração das vulnerabilidades em ataques, pesquisadores do Google TAG identificaram e divulgaram informações sobre falhas de dia zero empregadas em ataques de software de vigilância patrocinados por Estados-nação visando indivíduos de alto perfil, incluindo jornalistas, figuras da oposição e dissidentes.

Desde o início do ano, a Apple corrigiu 20 vulnerabilidades de dia zero exploradas em ataques:

  • dois dias zero (CVE-2023-42916 e CVE-2023-42917) em novembro
  • dois dias zero (CVE-2023-42824 e CVE-2023-5217) em outubro
  • cinco dias zero (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) em setembro
  • dois dias zero (CVE-2023-37450 e CVE-2023-38606) em julho
  • três dias zero (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
  • mais três dias-zero (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
  • dois dias zero (CVE-2023-28206 e CVE-2023-28205) em abril
  • e outro WebKit zero-day (CVE-2023-23529) em fevereiro

Via

Apaixonado por tecnologia desde cedo, André Luiz é formado em Eletrônica, mas dedicou os últimos 15 anos a explorar as últimas tendências e inovações em tecnologia. Se tornou um jornalista especialista em smartphones, computadores e no mundo das criptomoedas, já compartilhou seus conhecimentos e insights em vários portais de tecnologia no Brasil e no mundo.
Tekimobile Midia LTDA - Todos os direitos reservados