Se você é um usuário Apple com vários dispositivos, você deve prestar muita atenção às atualizações mais recentes que a empresa acaba de lançar. Mais especificamente, atualizações de segurança para macOS, iOS, iPadOS, e o Safari foram implementados para corrigir um zero-day que foi explorado na natureza.
O que é CVE-2023-23529?
CVE-2023-23529 é uma vulnerabilidade de confusão de tipos no WebKit, Mecanismo de navegador da Apple usado no Safari, bem como todos os navegadores da web no iOS e iPadOS. A falha é causada pelo processamento de conteúdo malicioso da web, e pode levar à execução arbitrária de código em dispositivos expostos. Foi corrigido com verificações aprimoradas, de acordo com a Apple consultivo.
O objetivo principal da exploração pode estar associado a atividades de spyware, também conhecidas como. espionando usuários, mas não há confirmação oficial de como a falha foi explorada.
CVE-2023-23529 foi corrigido nos seguintes sistemas operacionais – iOS 16.3.1 e iPadOS 16.3.1, mac OS Ventura 13.2.1, Safári 16.3.1, e provavelmente no tvOS 16.3.2 e watchOS 9.3.1 (que precisará ser confirmado adicionalmente).
Também é digno de nota que a vulnerabilidade foi inicialmente relatada por um pesquisador anônimo, mas o The Citizen Lab na Munk School da Universidade de Toronto também foi mencionado como um colaborador.
Outras vulnerabilidades corrigidas pela Apple em fevereiro 2023
A Apple corrigiu uma vulnerabilidade user-after-free no componente Kernel, identificado como CVE-2023-23514. O problema pode permitir que aplicativos mal-intencionados executem código arbitrário com os privilégios mais altos. Foi corrigido com gerenciamento de memória aprimorado.
A versão mais recente do macOS também corrigiu um problema de privacidade nos Atalhos, que poderia permitir que aplicativos maliciosos observassem dados desprotegidos do usuário. Felizmente, essa brecha também foi corrigida – com manipulação aprimorada de arquivos temporários.
Para evitar possíveis cenários de exploração, você deve atualizar para as versões mais recentes – iOS 16.3.1, iPadOS 16.3.1, mac OS Ventura 13.2.1, e Safari 16.3.1. Quanto aos dispositivos afetados, a lista inclui iPhone 8 e depois, todos os modelos do iPad Pro, iPad Air 3ª geração e posterior, iPad 5ª geração e posteriores, iPad mini 5ª geração e posterior, e Macs executando o macOS Ventura, macOS Big Sur, e macOS Monterey.
Em fevereiro 2021, outra vulnerabilidade do WebKit, CVE-2021-1801, foi explorado por uma campanha de publicidade maliciosa para injetar cargas maliciosas que redirecionavam os usuários para sites projetados para golpes de cartão de presente.