A Apple lançou atualizações de emergência para corrigir duas falhas de dia zero exploradas ativamente em iPhones mais antigos, iPads, e Macs. A empresa afirmou que está ciente de um relatório de que esse problema pode ter sido explorado ativamente.
CVE-2023-28206, CVE-2023-28205 Dias Zero
A primeira brecha de segurança, conhecido como CVE-2023-28206, foi classificado como um problema de gravação fora dos limites localizado no IOSurfaceAccelerator. A vulnerabilidade pode permitir que atores mal-intencionados executem código arbitrário com privilégios de kernel em dispositivos de destino. O segundo dia zero, CVE-2023-28205, é um WebKit use after free vulnerabilidade que pode permitir que códigos maliciosos sejam executados em dispositivos comprometidos depois que os usuários são levados a carregar páginas da web maliciosas. Esses patches de segurança foram lançados na sexta-feira.
De acordo com as vulnerabilidades, maçã lançou hoje atualizações de software para lidar com as vulnerabilidades de dia zero descobertas no iOS 15.7.5 e iPadOS 15.7.5, macOS Monterey 12.6.5, e macOS Big Sur 11.7.6. Essas atualizações melhoram a validação de entrada e o gerenciamento de memória, e proteja os seguintes dispositivos: 6s para iPhone (todos os modelos), Iphone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração), iPod touch (7ª geração), e Macs rodando macOS Monterey e Big Sur. Vale ressaltar que as falhas de dia zero foram inicialmente identificadas por pesquisadores do Grupo de Análise de Ameaças do Google e do Laboratório de Segurança da Anistia Internacional., que relataram que estavam sendo explorados na natureza.
O que é uma vulnerabilidade de dia zero?
Dia zero, ou 0 dias, é um termo usado para descrever uma vulnerabilidade, explorar, e ataque em software ou hardware. Uma vulnerabilidade de dia zero é um bug de software desconhecido pelo fornecedor do software, tornando possível para um cibercriminoso tirar vantagem disso para fins maliciosos. Um Zero-Day Exploit é o método desenvolvido pelo cibercriminoso para aproveitar a vulnerabilidade, e um ataque de dia zero é a implantação da exploração em um cenário de ataque, que podem ser usados para roubar dados confidenciais ou causar outras formas de dano.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: