A Apple lançou uma série de atualizações de segurança na segunda-feira para corrigir múltiplas vulnerabilidades em seus produtos, incluindo uma vulnerabilidade zero-day que “poderia ser explorada” nos sistemas operacionais para iPhones, iPads e computadores Macintosh.
A vulnerabilidade zero-day específica, identificada como CVE-2024-23222, é encontrada no WebKit e pode levar à execução de código arbitrário por meio do processamento de conteúdo da web maliciosamente projetado. A Apple descreveu isso como um “problema relacionado à confusão que foi resolvido por meio de verificações aprimoradas” no iOS 17.3 e no iPadOS 17.3 (modelos iPhone XS e posteriores, iPad Pro 12,9 polegadas de 2ª geração e posteriores, iPad Pro 10,5 polegadas, iPad Pro 11 polegadas de 1ª geração e posteriores, iPad Air 3ª geração e posteriores, iPad 6ª geração e posteriores e iPad mini 5ª geração e posteriores), iOS 16.7.5 e iPadOS 16.7.5 (iPhone 8, iPhone 8 Plus, iPhone X, iPad 5ª geração, iPad Pro 9,7 polegadas e iPad Pro 12,9 polegadas de 1ª geração), macOS Sonoma 14.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3, tvOS 17.3 e Safari 17.3.
Como sempre, a Apple não revelou muitos detalhes sobre as vulnerabilidades, exceto o que foi compartilhado nos “Relatórios de Inteligência de Ameaças” para proteger seus clientes. A Apple implementou um novo processo de atualização de segurança chamado Rapid Security Response em agosto para fornecer melhorias significativas na segurança entre as atualizações de software, que também podem ser usadas para mitigação mais rápida de certos problemas de segurança, incluindo aqueles que podem ser explorados de forma maliciosa.
A Agência de Segurança Cibernética e de Infraestrutura emitiu um alerta em 23 de janeiro sobre as atualizações de segurança da Apple, que são as primeiras em 2024. No ano passado, a Apple corrigiu 20 vulnerabilidades “zero-day” ou “zero-click”.
Além do CVE-2024-23222, outro bug do WebKit – CVE-2024-23206 – permitia que um site maliciosamente projetado “se passasse por um usuário”, enquanto um terceiro bug do WebKit – CVE-2024-23214 – também poderia levar à execução de código arbitrário por meio da visita a uma página da web maliciosamente criada.
De acordo com pesquisas da Menlo Security, os ataques de phishing baseados em navegador aumentaram 198% em 2023. Esse número subiu para 206% para ataques classificados como evasivos, usando várias técnicas para contornar os controles de segurança tradicionais.
Considerando a disponibilidade limitada de informações sobre os primeiros zero-days nos navegadores em 2024 – CVE-2024-23222 e CVE-2024-0519, respectivamente – Lionel Litty, Arquiteto-Chefe de Segurança da Menlo, afirmou que é difícil dizer se as mesmas vulnerabilidades foram exploradas, já que o CVE para o Chrome estava relacionado ao mecanismo JavaScript (v8), enquanto o Safari usa um mecanismo JavaScript diferente. No entanto, não é incomum diferentes implementações terem falhas muito semelhantes, continuou Litty. “Quando os atacantes encontram um ponto fraco em um navegador, eles também costumam testar outros navegadores na mesma área”, disse Litty. “Portanto, embora seja improvável que seja exatamente a mesma vulnerabilidade, não seria surpreendente encontrar alguma similaridade entre os dois exploits usados de forma maliciosa.”
Perguntas Frequentes (FAQs) – Principais Tópicos e Informações:
1. Quais vulnerabilidades foram corrigidas nas atualizações de segurança da Apple?
R: As atualizações visaram corrigir múltiplas vulnerabilidades, incluindo zero-days que “poderiam ser explorados” nos sistemas operacionais para iPhones, iPads e computadores Macintosh.
2. Qual foi a vulnerabilidade zero-day específica encontrada no WebKit?
R: A vulnerabilidade zero-day específica identificada como CVE-2024-23222 ocorreu no WebKit, que pode levar à execução de código arbitrário por meio do processamento de conteúdo da web maliciosamente projetado.
3. Quais produtos da Apple foram cobertos pelas atualizações de segurança?
R: As atualizações se aplicam aos iPhones, iPads, computadores Macintosh, macOS Monterey, tvOS e Safari.
4. O que é Rapid Security Response?
R: Rapid Security Response é uma nova abordagem para atualizações de segurança introduzida pela Apple em agosto, fornecendo melhorias significativas na segurança entre as atualizações de software.
5. Quais bugs do WebKit foram corrigidos?
R: Além do CVE-2024-23222, outro bug do WebKit com o identificador CVE-2024-23206 permitia que um site “se passasse por um usuário”, enquanto outro bug do WebKit com o identificador CVE-2024-23214 também poderia levar à execução de código arbitrário por meio da visita a uma página da web maliciosamente criada.
Definições de Termos e Linguagem Técnica:
– Zero-day: Refere-se a vulnerabilidades em um sistema que são desconhecidas pelo fornecedor de software e, portanto, não possuem medidas de segurança eficazes. Cibercriminosos podem explorar essas vulnerabilidades antes que sejam corrigidas adequadamente.
– WebKit: O motor de navegador usado, entre outros, no navegador Safari.
– CVE: Vulnerabilidades e Exposições Comuns (CVE) é uma forma padrão de identificar vulnerabilidades publicamente conhecidas em sistemas de computadores. Cada número CVE é um identificador único atribuído a cada vulnerabilidade.
Links Relacionados Sugeridos para o domínio principal:
– Página inicial da Apple
– Suporte Apple
– iPhone
– iPad
– macOS
– tvOS
– Safari
The source of the article is from the blog mivalle.net.ar