Apple corrige três vulnerabilidades zero-day nos seus dispositivos
A Apple confirmou ter lançado uma correção para novas vulnerabilidades zero-day, descobertas sobre os seus sistemas, e que afetam o iPhone, Mac e iPad.
No total foram descobertas três falhas, que a empresa confirma que se encontram a ser ativamente exploradas para ataques. As falhas afetam o funcionamento do WebKit, o motor de base do Safari.
Uma das falhas permite contornar algumas das medidas de proteção (sandbox) implementadas pelo motor, o que permite aos atacantes executarem código fora do ambiente protegido. As outras duas estão associadas com explorações da memória, que podem permitir aos atacantes recolherem dados sensíveis dos utilizadores ou executarem código nos dispositivos.
O grave destas falhas encontra-se no facto de poderem ser exploradas apenas com o acesso a sites maliciosamente criados para tal. As vítimas não necessitam de realizar qualquer atividade extra: apenas acederem ao site estão a potenciar que os seus dispositivos fiquem comprometidos.
As falhas foram corrigidas com o macOS Ventura 13.4, iOS e iPadOS 16.5, tvOS 16.5, watchOS 9.5, e Safari 16.5. A lista de dispositivos afetados pelas falhas serão todos os modelos onde os respetivos sistemas ainda se encontram, o que inclui o iPhone 6s, 7, SE, iPad Air 2, iPad Mini de 4ª geração, iPod Touch e iPhone 8 ou mais recente.
De notar que, apesar de a Apple confirmar que as falhas estão a ser usadas para ataques, a empresa não deixou detalhes sobre a gravidade dos mesmos ou o quanto estão a ser explorados. Ao mesmo tempo, é importante ter em conta que, desde o início de 2023, a Apple já lançou correções para seis falhas zero-day.