No dia 14 de maio deste ano foram descobertas múltiplas vulnerabilidades em produtos da Apple. Os produtos afetados são os seguintes:
-
- watchOS é o sistema operacional móvel do Apple Watch e é baseado no sistema operacional iOS.
- O Safari é um navegador da Web disponível para o OS X.
- O tvOS é um sistema operacional para o media player digital da Apple TV de quarta geração.
- O iOS é um sistema operacional móvel para dispositivos móveis, incluindo o iPhone, iPad e iPod touch.
- Mojave é o sistema operacional mais recente de desktop e servidor para computadores Macintosh.
- High Sierra e Sierra são sistemas operacionais antigos de desktop e servidor para computadores Macintosh.
A exploração bem-sucedida da mais severa dessas vulnerabilidades pode resultar na execução de código arbitrário dentro do contexto do aplicativo, um invasor obtendo os mesmos privilégios que o usuário conectado ou ignorando as restrições de segurança. Dependendo dos privilégios associados ao usuário, um invasor pode: instalar programas, visualizar, alterar ou excluir dados, ou criar novas contas com direitos totais de usuário. As versões afetadas são:
-
- Versões watchOS anteriores a 5.2.1
- Versões do Safari anteriores a 12.1.1
- Apple TV Software 7.3
- Versões do tvOS anteriores a 12.3
- Versões do iOS anteriores a 12.3
- macOS Mojave 10.14.5, Atualização de segurança 2019-003 High Sierra, Atualização de segurança 2019-003 Sierra
Os riscos descritos pela CIS (Center for Interner Security) para usuários domésticos é baixa, mas para entidades governamentais e empresas é alta. As recomendações para mitigar os possíveis danos são:
-
- Aplique os patches apropriados fornecidos pela Apple aos sistemas vulneráveis imediatamente após os testes necessários.
- Execute todas as aplicações como um usuário não privilegiado (um sem privilégios administrativos) para diminuir os efeitos de um ataque bem-sucedido.
- Lembre os usuários de não baixar, aceitar ou executar arquivos de fontes não confiáveis ou desconhecidas.
- Lembre os usuários de não visitar sites não confiáveis ou seguir links fornecidos por fontes desconhecidas ou não confiáveis.
- Aplique o “Princípio de Menor Privilégio” a todos os sistemas e serviços.
Para conferir o resumo técnico das vulnerabilidades, clique aqui.