A Apple lançou um novo conjunto de correções de segurança que abordam vulnerabilidades no Safari, iOS, watchOS, e tvOS. Deve-se observar que algumas das vulnerabilidades foram divulgadas antes das atualizações de segurança, que abriu uma brecha para os atores de ameaças.
Quais problemas foram corrigidos no iOS 12?
Com o lançamento do iOS 12, A Apple se concentrou em melhorar a estabilidade e confiabilidade. Contudo, a versão mais recente também inclui vários novos recursos orientados para a segurança, como melhorias de rastreamento inteligente, segmentação de anúncios suprimida, e também introduz sugestão automática de senhas fortes.
Além dessas melhorias, a empresa abordou várias vulnerabilidades de segurança:
CVE-2018-4322 - esta é uma vulnerabilidade de contas que pode permitir que aplicativos locais leiam um identificador de conta persistente;
CVE-2018-5383 - este é um erro de validação de entrada que existia na implementação do protocolo de comunicação que poderia permitir que invasores com privilégios interceptassem o tráfego de Bluetooth;
CVE-2018-4330 - este problema é descrito como corrupção de memória. Em caso de exploração, invasores podem executar código arbitrário;
CVE-2018-4356 - esta vulnerabilidade foi relatada anonimamente. É descrito como um problema de permissão no sistema operacional móvel da Apple, que permitia que aplicativos invasores obtivessem informações sobre a visão atual da câmera do usuário antes de obter acesso à câmera;
CVE-2018-4338 - esta vulnerabilidade é um problema de validação e permite que os invasores usem aplicativos maliciosos para ler a memória restrita;
CVE-2018-4363 - este é um dos sérios problemas de segurança no kernel do iOS resolvido no iOS 12. O bug foi relatado pelo Google Project Zero e é descrito como um problema de validação de entrada que pode permitir que os aplicativos leiam a memória restrita.
Outra vulnerabilidade grave na plataforma de comunicação de mensagens da Apple também foi corrigida. A falha é um problema de consistência localizado no manuseio de instantâneos de aplicativos, que pode permitir que invasores locais descubram as mensagens excluídas do usuário.
Falhas no Safari também corrigidas
Vários problemas no navegador Safari também foram corrigidos em sua versão mais recente, Safári 12: CVE-2018-4307, CVE-2018-4329, e CVE-2018-4195. CVE-2018-4307 pode permitir que sites maliciosos exfiltrem dados preenchidos automaticamente no Safari. CVE-2018-4329 é descrito como um problema que pode impedir a exclusão de itens do histórico de navegação. CVE-2018-4195 trata de um problema que pode levar à falsificação da interface do usuário, acionada ao clicar em um link em um site malicioso.
Outros problemas incluem uma vulnerabilidade de validação no IOMobileFrameBuffer, um bug de falsificação de senha rastreado como CVE-2018-4305 na iTunes Store, e uma falha que pode ser explorada para recuperar o conteúdo excluído do Notes.
por fim, um problema de criptografia rastreado como CVE-2016-1777 desencadeado por fraqueza no algoritmo criptográfico RC4 também foi corrigido. Para resolver a falha, a empresa removeu o protocolo por completo.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: