A Apple lançou nesta segunda-feira, 11, atualizações de segurança para o iOS e o iPadOS visando resolver várias vulnerabilidades graves que expõem os usuários móveis a ataques hackers. As versões mais recentes dos sistemas operacionais, o iOS 17.2 e iPad 17.2, contêm correções para o menos 11 falhas de segurança documentadas, algumas graves o suficiente para levar à execução arbitrária de código ou fugas de área restrita de aplicativos.
De acordo com um comunicado da equipe de resposta de segurança da Apple, o problema mais sério é uma corrupção de memória na ImageIO (biblioteca Python) que pode levar à execução arbitrária de código quando determinadas imagens são processadas.
O lançamento do iOS 17.2 também aborda uma falha de execução de código no mecanismo de renderização do WebKit e um problema de segurança de memória que permite que os aplicativos saiam da área restrita do dispositivo.
A empresa também corrigiu um problema de privacidade em Accounts, um problema de divulgação de informações no AVEVideoEncoder, um kit de extensão que permite acesso a dados confidenciais do usuário e uma falha da Siri que permite que um invasor com acesso físico use o bot de voz para acessar dados confidenciais do usuário.
A Apple também lançou o iOS 16.7.3 e o iPadOS 16.7.3 para fornecer um lote de correções de segurança para dispositivos que executam versões mais antigas do sistema operacional. Essas atualizações também incluem correções para zero-days do WebKit documentado anteriormente capturados por meio de exploração.
A fabricante também emitiu atualizações de segurança de emergência para patches de backport para duas falhas de dia zero exploradas ativamente em iPhones mais antigos e alguns modelos do Apple Watch e Apple TV.
As duas vulnerabilidades, rastreadas como CVE-2023-42916 e CVE-2023-42917, foram descobertas dentro do mecanismo de navegador WebKit, desenvolvido pela Apple e usado pelo navegador Safari em suas plataformas — por exemplo, macOS, iOS, iPadOS. Elas podem permitir que invasores obtenham acesso a dados confidenciais e executem código arbitrário usando páginas da web criadas com códigos maliciosos projetados para explorar bugs fora dos limites e de corrupção de memória em dispositivos sem patch.
A empresa diz que os bugs foram corrigidos na seguinte lista de dispositivos:
- iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air 3ª geração e posterior, iPad 5ª geração e posterior e iPad mini 5ª geração e posterior
- Apple TV HD e Apple TV 4K (todos os modelos)
- Apple Watch Series 4 e posterior
Embora a Apple ainda não tenha fornecido detalhes sobre a exploração das vulnerabilidades em ataques, pesquisadores do Google TAG identificaram e divulgaram informações sobre falhas de dia zero empregadas em ataques de software de vigilância patrocinados por Estados-nação visando indivíduos de alto perfil, incluindo jornalistas, figuras da oposição e dissidentes.
Desde o início do ano, a Apple corrigiu 20 vulnerabilidades de dia zero exploradas em ataques:
- dois dias zero (CVE-2023-42916 e CVE-2023-42917) em novembro
- dois dias zero (CVE-2023-42824 e CVE-2023-5217) em outubro
- cinco dias zero (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) em setembro
- dois dias zero (CVE-2023-37450 e CVE-2023-38606) em julho
- três dias zero (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
- mais três dias-zero (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
- dois dias zero (CVE-2023-28206 e CVE-2023-28205) em abril
- e outro WebKit zero-day (CVE-2023-23529) em fevereiro
