A Apple lançou atualizações para três falhas de dia zero exploradas na natureza.
CVE-2021-30869, CVE-2021-30860, CVE-2021-30858
A primeira falha de dia zero ativamente explorada, CVE-2021-30869, foi corrigido nas atualizações para macOS Catalina e iOS 12.
De acordo com a assessoria oficial, “Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de kernel.” A empresa está ciente das explorações que podem alavancar a vulnerabilidade em estado selvagem. Detalhes técnicos são escassos, mas o patch é obrigatório.
A atualização se aplica ao iPhone 5s, Iphone 6, Iphone 6 Mais, iPad Air, iPad mini 2, iPad mini 3, e iPod touch (6ª geração). Para consertar a falha, um problema de confusão de tipo foi resolvido com o tratamento de estado aprimorado, maçã explicado.
Mais duas vulnerabilidades também foram abordadas - um problema de estouro de número inteiro, conhecido como CVE-2021-30860 e divulgado pelo The Citizen Lab. “Processar um PDF criado com códigos maliciosos pode causar a execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente,”A empresa observou.
CVE-2021-30858, um uso após vulnerabilidade livre, foi relatado por um pesquisador anônimo.
No início desta semana, uma vulnerabilidade de dia zero no macOS afetando Big Sur e versões anteriores foram divulgadas ao público.
O bug reside no sistema macOS Finder e pode permitir que um invasor remoto engane os usuários para que executem comandos arbitrários. Pelo visto, ainda não há patch para o problema, que foi descoberto pelo pesquisador de segurança independente Park Minchan e relatado ao programa SSD Secure Disclosure.