A Apple tomou medidas para resolver dois zero-day vulnerabilidades detectadas no iOS, que foram ativamente explorados na natureza. A gigante da tecnologia emitiu prontamente atualizações de segurança de emergência para corrigir as vulnerabilidades.
CVE-2024-23225 e CVE-2024-23296
Reconhecendo a gravidade da situação, Apple emitiu um conselho na terça-feira, confirmando seu conhecimento das explorações relatadas. as vulnerabilidades, identificado como CVE-2024-23225 no Kernel do iOS e CVE-2024-23296 no RTKit, concedeu aos invasores capacidades arbitrárias de leitura e gravação do kernel, permitindo-lhes ignorar proteções cruciais de memória do kernel.
Para combater essas vulnerabilidades, A Apple lançou patches de segurança para dispositivos com iOS 17.4, iPadOS 17.4, iOS 16.76, e iPad 16.7.6. Essas atualizações incluem mecanismos aprimorados de validação de entrada, com o objetivo de melhorar a segurança do dispositivo contra ameaças potenciais.
O escopo dos dispositivos Apple afetados é extenso, incluindo vários modelos de iPhone e iPad, incluindo iPhone XS e posterior, Iphone 8, Iphone 8 Mais, iPhone X, e várias gerações de iPads.
Apesar da reticência da Apple sobre as origens das divulgações de dia zero, vale a pena notar que as vulnerabilidades de dia zero do iOS são frequentemente exploradas em campanhas de espionagem patrocinadas pelo estado. Essas campanhas geralmente têm como alvo indivíduos considerados de alto risco, incluindo jornalistas, figuras da oposição, e ativistas.
Embora não haja indicação da Apple de exploração contínua na natureza, instalar as atualizações de segurança o mais rápido possível é obrigatório. A ação oportuna é crucial para bloquear possíveis tentativas de ataque e proteger a privacidade do usuário contra invasores mal-intencionados.
Também é digno de nota que este último incidente de segurança envolvendo CVE-2024-23225 e CVE-2024-23296 marca a terceira instância da Apple abordando vulnerabilidades de dia zero em 2024. Refletindo sobre o ano anterior, A Apple corrigiu um total de 20 exploits de dia zero:
- CVE-2023-42916 e CVE-2023-42917 em novembro
- CVE-2023-42824 e CVE-2023-5217 em outubro
- CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992, e CVE-2023-41993 em setembro
- CVE-2023-37450 e CVE-2023-38606 em julho
- CVE-2023-32434, CVE-2023-32435, e CVE-2023-32439 em junho
- CVE-2023-32409, CVE-2023-28204, e CVE-2023-32373 em maio
- CVE-2023-28206 e CVE-2023-28205 em abril
- CVE-2023-23529 em fevereiro
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: