Atualização corrige falhas zero-day usadas para hackear iPhones e Macs

Não é mais apenas um update comum da Apple, essa atualização corrige falhas zero-day usadas para hackear iPhones e Macs.

A Apple lançou atualizações de segurança para resolver duas vulnerabilidades zero-day exploradas por invasores para hackear iPhones, iPads e Macs.

Atualização corrige falhas zero-day usadas para hackear iPhones e Macs

Atualização corrige falhas zero-day usadas para hackear iPhones e Macs

Os bugs de segurança zero-day são falhas que o fornecedor de software desconhece e não corrigiu. Em alguns casos, eles também têm explorações de prova de conceito publicamente disponíveis ou podem ser exploradas ativamente na natureza.

Em alertas de segurança publicados recentemente, a Apple disse que está ciente dos relatórios de que os problemas “podem ter sido explorados ativamente”.

As duas falhas são um problema de gravação fora dos limites (CVE-2022-22674) no driver de gráficos Intel que permite que os aplicativos leiam a memória do kernel e um problema de leitura fora dos limites (CVE-2022-22675) no AppleAVD decodificador de mídia que permitirá que aplicativos executem código arbitrário com privilégios de kernel.

Os bugs foram relatados por pesquisadores anônimos e corrigidos pela Apple no iOS 15.4.1, iPadOS 15.4.1 e macOS Monterey 12.3.1 com validação de entrada aprimorada e verificação de limites, respectivamente.

A lista de dispositivos afetados inclui:

  • Macs executando o macOS Monterey
  • iPhone 6s e posterior
  • iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).

A Apple divulgou exploração ativa em estado selvagem, no entanto, não divulgou nenhuma informação adicional sobre esses ataques.

A retenção dessas informações provavelmente foi projetada para permitir que as atualizações de segurança alcancem o maior número possível de iPhones, iPads e Macs antes que os invasores percebam os detalhes e comecem a abusar dos zero-day agora corrigidos.

Embora esses dias zero provavelmente tenham sido usados ​​apenas em ataques direcionados, ainda é altamente recomendável instalar as atualizações de segurança de hoje o mais rápido possível para bloquear possíveis tentativas de ataque.

Em janeiro, a Apple corrigiu dois zero-day mais ativamente explorados que podem permitir que invasores obtenham execução arbitrária de código com privilégios de kernel (CVE-2022-22587) e rastreiem a atividade de navegação na Web e as identidades dos usuários em tempo real (CVE-2022- 22594).

Em fevereiro, a Apple lançou atualizações de segurança para corrigir um novo bug de dia zero explorado para hackear iPhones, iPads e Macs, levando a falhas no sistema operacional e execução remota de código em dispositivos comprometidos após o processamento de conteúdo da web mal-intencionado.

Esses três primeiros dias zero também afetaram iPhones (iPhone 6s e superior), Macs com macOS Monterey e vários modelos de iPad.

A empresa também teve que lidar com um fluxo quase interminável de dias zero explorados na natureza para atingir dispositivos iOS, iPadOS e macOS ao longo de 2021.

Essa lista inclui várias falhas usadas para implantar o spyware Pegasus da NSO em iPhones pertencentes a jornalistas, ativistas e políticos.

Deixe um comentário

Sair da versão mobile