A mais recente coleção de atualizações de segurança da Apple chegou, incluindo o recém-lançado aventura macOS 13, que foi acompanhado por seu próprio boletim de segurança listando 112 brechas de segurança numeradas CVE.
Desses, contamos 27 falhas de execução de código arbitrário, das quais 12 permitem que código não autorizado seja injetado diretamente no próprio kernel, e um permite que código não confiável seja executado com privilégios de sistema.
Além disso, existem dois bugs de elevação de privilégio (EoP) listados para Ventura que assumimos que podem ser usados em conjunto com alguns, muitos ou todos os 14 bugs de execução de código não-sistema restantes para formar uma cadeia de ataque que transforma uma exploração de execução de código em nível de usuário em uma exploração em nível de sistema.
iPhone e iPad em risco na vida real
Essa não é a parte mais crítica desta história no entanto.
O prêmio “perigo claro e presente” vai para iOS e iPadOS, o qual atualizar-se para a versão 16.1 e 16 respectivamente, onde uma das vulnerabilidades de segurança listadas permite a execução do código do kernel de qualquer aplicativo e já está sendo explorada ativamente.
Resumindo, iPhones e iPads precisam ser corrigidos imediatamente por causa de um kernel de dia zero.
A Apple não disse qual grupo de crimes cibernéticos ou empresa de spyware está abusando desse bug, apelidado CVE-2022-42827, mas dado o alto preço que o trabalho de dias zero do iPhone comanda no submundo cibernético, assumimos que quem está na posse dessa exploração [a] sabe como fazê-la funcionar de forma eficaz e [b] é improvável que chame a atenção para ela por conta própria , a fim de manter as vítimas existentes no escuro tanto quanto possível.
A Apple trocou sua habitual observação clichê no sentido de que a empresa “está ciente de um relatório de que este problema pode ter sido explorado ativamente”, e isso é tudo.
Como resultado, não podemos oferecer nenhum conselho sobre como verificar se há sinais de ataque em seu próprio dispositivo – não temos conhecimento dos chamados IoCs (indicadores de compromisso), como arquivos estranhos em seu backup, alterações inesperadas de configuração ou entradas incomuns de arquivo de log que você pode pesquisar.
Nossa única recomendação é, portanto, nosso desejo habitual de corrigir antecipadamente / corrigir com frequência, indo para Configurações > Geral > Atualização de software e escolhendo Baixe e instale se você ainda não recebeu as correções.
Por que esperar que seu dispositivo encontre e sugira as atualizações quando você pode pular para o início da fila e buscá-las imediatamente?
Catarina caiu?
Como você deve ter presumido, dado que o lançamento do Ventura leva o macOS para a versão 13, o macOS 10 Catalina de três versões anteriores não aparece na lista desta vez.
A Apple normalmente fornece atualizações de segurança apenas para as versões anteriores e anteriores do macOS, e foi assim que os patches funcionaram aqui, com patches a serem executados macOS 11 Big Sur para a versão 11.7.1 e macOS 12 Monterey para a versão 12.6.1.
No entanto, essas versões também recebem um atualização separada listado como Safari 16.1, que corrige vários bugs que parecem perigosos no Safari e em sua biblioteca de software subjacente WebKit.
Lembre-se de que o WebKit é usado não apenas pelo Safari, mas também por qualquer outro aplicativo que dependa do código subjacente da Apple para exibir qualquer tipo de conteúdo baseado em HTML, incluindo sistemas de ajuda, telas Sobre e “minibrowsers” integrados, comumente vistos em mensagens aplicativos que oferecem uma opção para visualizar arquivos HTML, páginas ou mensagens.
Apple RELÓGIO e tvOS também recebem várias correções, e seus números de versão são atualizados para Assista 9.1 e tvOS 16.1 respectivamente.
O que fazer?
A boa notícia é que apenas os primeiros usuários e desenvolvedores de software provavelmente já estão executando o Ventura, como parte do ecossistema Beta da Apple.
Esses usuários devem atualizar o mais rápido possível, sem esperar por um lembrete do sistema ou pela atualização automática, dado o grande número de bugs corrigidos.
Se você não estiver no Ventura, mas pretende atualizar imediatamente, sua primeira experiência com a nova versão incluirá automaticamente os 112 patches CVE mencionados acima, portanto, a versão atualização incluirá automaticamente a segurança necessária novidades.
Se você planeja ficar com a versão anterior ou anterior do macOS por um tempo ainda (ou se, como nós, você tem um Mac mais antigo que não pode ser atualizado), não esqueça que você precisa de duas atualizações: um específico para Big Sur ou Monterey, e o outro uma atualização para o Safari que é a mesma para ambos os tipos de sistema operacional.
Para resumir:
- No iOS ou iPad OS, use com urgência Configurações > Geral > Atualização de software
- No macOS, usar Menu Apple > Sobre este Mac > Atualização de software…
- MacOS 13 Ventura Beta os usuários devem atualizar imediatamente para a versão completa.
- Usuários de Big Sur e Monterey quem atualiza para Ventura obtém as correções de segurança do macOS 13 ao mesmo tempo.
- macOS 11 Big Sur vai para 11.7.1e necessidades Safari 16.1 tão bem.
- macOS 12 Monterey vai para 12.6.1e necessidades Safari 16.1 tão bem.
- RELÓGIO vai para 9.1.
- tvOS vai para 16.1.
Observe que o macOS 10 Catalina não recebe atualizações, mas assumimos que é porque é o fim do caminho para os usuários do Catalina, não porque ainda é compatível, mas era imune a qualquer um dos bugs encontrados em versões posteriores.
Se estivermos certos, os usuários do Catalina que não podem atualizar seus Macs estão presos a executar softwares da Apple cada vez mais desatualizados para sempre ou a mudar para um sistema operacional alternativo, como uma distribuição Linux que ainda é suportada em seu dispositivo.
Links rápidos para os boletins de segurança da Apple:
- APPLE-SA-2022-10-24-1: HT213489 para iOS 16.1 e iPadOS 16
- APPLE-SA-2022-10-24-2: HT213488 para macOS Ventura 13
- APPLE-SA-2022-10-24-3: HT213494 para macOS Monterey 12.6.1
- APPLE-SA-2022-10-24-4: HT213493 para macOS Big Sur 11.7.1
- APPLE-SA-2022-10-24-5: HT213491 para watchOS 9.1
- APPLE-SA-2022-10-24-6: HT213492 para tvOS 16.1
- APPLE-SA-2022-10-24-7: HT213495 para Safari 16.1
- Dia 0
- Apple
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- CVE-2022-42827
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- Explorar
- firewall
- iOS
- iPad
- iPhone
- Kaspersky
- mac
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- OS X
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidade
- a segurança do website
- zefirnet
- dia zero
