Para a atenção dos usuários da Apple - a empresa lançou recentemente patches de segurança fora da banda que tratam de dois-zero dias no iOS 12.5.3. As vulnerabilidades podem ter sido exploradas à solta, então conserte seus dispositivos imediatamente.
iOS 12.5.4 Corrige três bugs: CVE-2021-30737, CVE-2021-30761, CVE-2021-30762
A última versão do iOS 12.5.4 corrige três vulnerabilidades de segurança, conforme o consultivo oficial:
- Um problema de corrupção de memória no decodificador ASN.1 foi resolvido removendo o código vulnerável, identificado como CVE-2021-30737. A correção está disponível para iPhone 5s, Iphone 6, Iphone 6 Mais, iPad Air, iPad mini 2, iPad mini 3, e iPod touch;
- Um problema de corrupção de memória no WebKit, abordado com melhor gestão do estado, identificado como CVE-2021-30761, e disponível para iPhone 5s, Iphone 6, Iphone 6 Mais, iPad Air, iPad mini 2, iPad mini 3, e iPod touch (6ª geração);
- Outro WebKit emitido, descrito como um uso após bug grátis, endereçado com gerenciamento de memória aprimorado e identificado como CVE-2021-30762; disponível para iPhone 5s, Iphone 6, Iphone 6 Mais, iPad Air, iPad mini 2, iPad mini 3, e iPod touch.
As duas vulnerabilidades do WebKit podem ser exploradas para obter a execução remota de código. As vulnerabilidades CVE-2021-30761 e CVE-2021-30762 foram relatadas à Apple anonimamente. A Apple afirma estar ciente de relatos de que as falhas podem ter sido exploradas ativamente. Não há informações detalhando esses ataques.
Outras vulnerabilidades recentes no iOS
Em março 2021, outra vulnerabilidade afetando iOS, Mac OS, watchOS, e o navegador Safari foi detectado por pesquisadores de segurança.
Conhecido como CVE-2021-1844, o bug foi descoberto por dois pesquisadores: Clément Lecigne do Grupo de Análise de Ameaças do Google e Alison Huffman da Pesquisa de Vulnerabilidade do Navegador da Microsoft. O bug é desencadeado por um problema de corrupção de memória que pode causar a execução arbitrária de código durante o processamento de conteúdo da web especialmente criado. O problema foi corrigido com uma validação aprimorada, A apple disse.
Em janeiro 2021, A Apple abordou três vulnerabilidades de dia zero no iOS e iPadOS.
CVE-2021-1782, CVE-2021-1870, e CVE-2021-1871 pode permitir que os agentes da ameaça executem ataques de escalonamento de privilégios e execução remota de código. A empresa disse que as vulnerabilidades provavelmente foram exploradas na natureza, sem especificar a extensão dos ataques.