Na sexta-feira (7), a Apple liberou atualizações emergenciais de segurança para resolver duas novas vulnerabilidades de dia zero. Essas fragilidades poderiam ser exploradas para hackear tanto iPhones quanto Macs e iPads. Segundo a companhia, a lista de aparelhos afetados é grande, incluindo gadgets lançados em 2015.

iPhone 13
iPhone 13 (Imagem: Tecnoblog)

São duas falhas distintas, que deixam expostas as seguranças dos dispositivos da maçã a ataques de execução de código.

A primeira surgiu no IOSurfaceAccelerator como CVE-2023-28206. A Apple a considerou um problema de gravação fora dos limites, que poderia levar a corrupção de dados, crash ou execução de código. Se criminosos realizassem o exploit corretamente, eles conseguiriam usar um aplicativo malicioso para executar códigos arbitrários com privilégios de kernel em certos dispositivos.

A segunda vulnerabilidade veio como CVE-2023-28205. Ela foi considerada um bug no WebKit, que permite a corrupção de dados ou a execução arbitrária de código ao reutilizar a memória liberada. Hackers conseguiriam explorar essa fraqueza enganando os alvos para carregar páginas da Web maliciosas, o que poderia levar à execução de código em sistemas comprometidos.

Ambas as falhas de zero-day foram tratadas pela maçã nas atualizações iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1. Na postagem na página de suporte da empresa sobre o assunto, surgiu o seguinte comunicado:

A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.

Por fim, a companhia americana deu os créditos da descoberta ao Google e ao Laboratório de Segurança da Anistia internacional.

iMac
iMac (Imagem: Tecnoblog)

Falhas afetaram iPhone 8 e outros dispositivos

A Apple afirmou que muitos de seus aparelhos sofreram com as vulnerabilidades, fazendo com que a lista tenha produtos lançados desde 2015, como é o caso do iPad Pro:

  • Todas as versões do iPad Pro;
  • iPad Air de terceira geração e posterior;
  • iPad de quinta geração e posterior;
  • iPad mini de quinta geração e posterior;
  • iPhone 8 e posterior;
  • Macs que utilizam o macOS Ventura.

Apple já corrigiu vulnerabilidade em fevereiro

Vale lembrar que um outro erro já havia dado as caras no mês de fevereiro para a maçã. O problema CVE-2023-23529 foi relacionado ao WebKit, que poderia ser explorado para desencadear falhas no sistema operacional e obter execução de código em dispositivos comprometidos.

Se os hackers conseguissem usar o exploit, seria possível executar um código arbitrário em dispositivos que executam versões vulneráveis do iOS, iPadOS e macOS depois de abrir uma página da Web maliciosa.

Contudo, a dona do iPhone liberou a correção de dia zero no iOS 16.3.1, iPadOS 16.3.1 e macOS Ventura 13.2.1. Como resultado, toda a questão recebeu a devida solução sem muita demora.

Com informações: Bleeping Computer.

Apple corrigiu duas falhas de segurança de dia zero em seus dispositivos