A Apple lançou silenciosamente mais atualizações para iOS para corrigir uma vulnerabilidade de segurança de dia zero explorada ativamente que foi corrigida no início deste mês em dispositivos mais recentes. A vulnerabilidade, encontrada no WebKit, pode permitir que invasores criem conteúdo malicioso da Web que permite a execução remota de código (RCE) no dispositivo de um usuário.
Uma atualização lançado quarta-feira, iOS 12.5.6, aplica-se aos seguintes modelos: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch de 6ª geração.
A falha em questão (CVE-2022-32893) é descrito pela Apple como um problema de gravação fora dos limites no WebKit. Isso foi resolvido no patch com verificação de limites aprimorada. A Apple reconheceu que o bug está sendo explorado ativamente e está pedindo aos usuários dos dispositivos afetados que atualizem imediatamente.
A Apple já havia corrigido a vulnerabilidade para alguns dispositivos – junto com uma falha no kernel rastreada como CVE-2022-32894 – mais cedo em agosto no iOS 15.6.1. Isso é uma atualização que abrangia o iPhone 6S e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad de 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).
A última rodada de patches parece ser a Apple cobrindo todas as suas bases, adicionando proteção para iPhones que executam versões mais antigas do iOS, observou o evangelista de segurança Paul Ducklin.
“Acreditamos que a Apple deve ter encontrado pelo menos alguns usuários importantes (ou de alto risco, ou ambos) de telefones mais antigos que foram comprometidos dessa forma e decidiu oferecer proteção para todos como uma precaução especial. " ele escreveu em um post no blog Sophos Naked Security.
A dupla cobertura da Apple para corrigir o bug em ambas as versões do iOS se deve à mudança nas versões da plataforma que rodam em quais iPhones, explicou Ducklin.
Antes de a Apple lançar o iOS 13.1 e o iPadOS 13.1, iPhones e iPads usavam o mesmo sistema operacional, conhecido como iOS para ambos os dispositivos, disse ele. Agora, o iOS 12.x cobre dispositivos iPhone 6 e anteriores, enquanto o iOS 13.1 e versões posteriores são executados no iPhone 6s e dispositivos lançados posteriormente.
A outra falha de dia zero que a Apple corrigiu no início deste mês, CVE-2022-32894, era uma vulnerabilidade do kernel que pode permitir o controle de todo o dispositivo. Mas embora o iOS 13 tenha sido afetado por essa falha – e, portanto, tenha recebido um patch para ela na atualização anterior – ela não afeta o iOS 12, observou Ducklin, “o que quase certamente evita o risco de comprometimento total do próprio sistema operacional” em versões mais antigas. dispositivos.
WebKit: uma ampla superfície de ataque cibernético
WebKit é o mecanismo de navegador que alimenta o Safari e todos os outros navegadores de terceiros que funcionam no iOS. Ao explorar o CVE-2022-32893, um agente de ameaça pode incorporar conteúdo malicioso em um site. Então, se alguém visitar o site a partir de um iPhone afetado, o ator poderá executar malware remotamente em seu dispositivo.
O WebKit em geral tem sido um espinho persistente no lado da Apple quando se trata de expor os usuários a vulnerabilidades porque se espalha além dos iPhones e outros dispositivos Apple para outros navegadores que o utilizam – incluindo Firefox, Edge e Chrome – colocando potencialmente milhões de usuários em risco de um determinado bug.
“Lembre-se de que existem bugs do WebKit, grosso modo, na camada de software abaixo do Safari, de modo que o próprio navegador Safari da Apple não é o único aplicativo em risco com esta vulnerabilidade”, observou Ducklin.
Além disso, qualquer aplicativo que exiba conteúdo da web no iOS para outros fins que não a navegação geral — como em suas páginas de ajuda, seus "Sobre" tela, ou mesmo em um “mininavegador” integrado – usa o WebKit nos bastidores, acrescentou.
“Em outras palavras, apenas 'evitar o Safari' e usar um navegador de terceiros não é uma solução alternativa adequada [para bugs do WebKit]”, escreveu Ducklin.
Apple sob ataque
Embora usuários e profissionais considerem tradicionalmente as plataformas Mac e iOS da Apple mais seguras que o Microsoft Windows – e isso geralmente é verdade por uma série de razões – a maré está começando a mudar, dizem os especialistas.
Na verdade, um cenário de ameaças emergente que mostra mais interesse em visar tecnologias da Web mais onipresentes e não o próprio sistema operacional ampliou a meta nas costas da Apple, de acordo com um relatório de ameaça lançado em janeiro, e a estratégia de patches defensivos da empresa reflete isso.
A Apple corrigiu pelo menos quatro falhas de dia zero este ano, com dois patches para vulnerabilidades anteriores do iOS e macOS chegando janeiro e um em Fevereiro – o último corrigiu outro problema explorado ativamente no WebKit.
Além disso, no ano passado, 12 das 57 ameaças de dia zero que os investigadores do Project Zero da Google rastreados foram relacionados à Apple (ou seja, mais de 20%), com problemas afetando macOS, iOS, iPadOS e WebKit.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
