by ffclavis
Bookmark

Apple corrige 3 vulnerabilidades Zero-Day nos iPhones

A Apple anunciou que suas atualizações mais recentes do sistema operacional corrigem três novas vulnerabilidades Zero-Day. Com base no trabalho anterior das organizações creditadas por relatar as falhas, elas provavelmente foram exploradas por um fornecedor de spyware.

Os Zero-Days são rastreados como CVE-2023-41991, que permite que um aplicativo malicioso ignore a verificação de assinatura, CVE-2023-41992, uma falha de kernel que permite que um invasor local eleve privilégios, e CVE-2023-41993, um WebKit bug que pode ser explorado para execução arbitrária de código, atraindo o usuário alvo para uma página da web maliciosa.

A Apple corrigiu algumas ou todas essas vulnerabilidades no Safari, iOS e iPadOS (incluindo as versões 17 e 16), macOS (incluindo Ventura e Monterey) e watchOS.

É importante notar que, embora cada um desses sistemas operacionais seja afetado pelos Zero-Days, a Apple disse que só está ciente da exploração ativa direcionada a versões do iOS anteriores a 16.7.

A Apple não compartilhou nenhuma informação sobre os ataques que exploram as novas vulnerabilidades. No entanto, considerando que foram relatados à gigante da tecnologia por pesquisadores do grupo Citizen Lab da Universidade de Toronto e do Threat Analysis Group do Google, eles provavelmente foram explorados por um fornecedor comercial de spyware para atacar iPhones.

Citizen Lab e Apple investigaram recentemente ataques envolvendo um dia zero identificado como CVE-2023-41064. Essa falha de segurança, parte de uma exploração sem clique chamada BlastPass, foi usada para entregar o notório spyware Pegasus do Grupo NSO para iPhones.

Em um ataque investigado pelo Citizen Lab, o spyware foi entregue a um funcionário de uma organização internacional da sociedade civil com sede em Washington DC.

CVE-2023-41064 afeta o formato de imagem WebP. A biblioteca afetada também é usada nos navegadores Chrome e Firefox, e o Google e a Mozilla também foram forçados a lançar atualizações de emergência para resolver o dia zero, que eles rastreiam como CVE-2023-4863.

Para saber mais, clique aqui.