A Apple abordou recentemente três vulnerabilidades de dia zero no iOS, iPadOS.
CVE-2021-1782, CVE-2021-1870, e CVE-2021-1871 pode permitir que os agentes de ameaças executem ataques de escalonamento de privilégios e execução remota de código. A empresa diz que as vulnerabilidades provavelmente foram exploradas na natureza, sem especificar os ataques’ extensão.
Mais sobre os três dias zero da Apple
As três vulnerabilidades foram relatadas por um pesquisador anônimo. Vamos ver o que sabemos sobre eles até agora.
CVE-2021-1782
Vale ressaltar que esta vulnerabilidade afeta o kernel nos seguintes dispositivos Apple: iPhone 6s e posterior, iPad Air 2 e depois, iPad mini 4 e depois, e iPod touch (7ª geração). Descrição da Apple diz que “uma condição de corrida foi tratada com travamento aprimorado.”
Se explorada, este dia zero pode permitir que um aplicativo malicioso eleve privilégios em um dispositivo vulnerável, então patching é altamente recomendado.
CVE-2021-1870 e CVE-2021-1871
Esses dois bugs representam um problema lógico que foi resolvido por meio de restrições aprimoradas. Afetados são iPhone 6s e posteriores, iPad Air 2 e depois, iPad mini 4 e depois, e iPod touch (7ª geração).
Esses bugs residiam no motor do navegador WebKit e podem permitir que um invasor execute a execução arbitrária de códigos dentro do navegador Safari.
Os usuários da Apple devem ter tempo para revisar seus dispositivos’ segurança e ver se os patches são aplicados.
Ano passado, pesquisadores de segurança divulgados uma falha de segurança no Safari para iOS e Mac, que ocorreu porque o Safari preservou a barra de endereço da URL quando solicitada por uma porta arbitrária.”
O problema foi causado pelo uso de código JavaScript executável malicioso em um site aleatório. O código fez o navegador atualizar o endereço enquanto a página carrega para outro endereço escolhido pelos atacantes.
Os atores da ameaça podem criar uma página da Web maliciosa e induzir a vítima a abrir o link enviado em um e-mail ou mensagem de texto falsos. Esta ação levaria a vítima potencial a malware ou roubaria suas credenciais.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: