A Apple publicou atualizações de segurança para iPhones e iPads mais antigos para fazer backport de patches lançados há uma semana, abordando duas vulnerabilidades de dia zero exploradas em ataques.
"A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.6", disse a empresa em um comunicado.
O primeiro dia zero (rastreado como CVE-2023-42824) é uma vulnerabilidade de escalonamento de privilégios causada por uma fraqueza no kernel XNU que pode permitir que invasores locais elevem privilégios em iPhones e iPads vulneráveis.
A Apple também corrigiu o problema no iOS 16.7.1 e iPadOS 16.7.1 com verificações aprimoradas, mas ainda não revelou quem descobriu e relatou a falha.
O segundo, um bug identificado como CVE-2023-5217, é causado por uma vulnerabilidade de estouro de buffer de heap na codificação VP8 da biblioteca de codecs de vÃdeo libvpx de código aberto. Essa falha pode permitir que os agentes da ameaça obtenham a execução arbitrária de códigos após uma exploração bem-sucedida.
Embora a Apple não tenha confirmado nenhum caso de exploração, o Google já corrigiu o bug da libvpx como um dia zero em seu navegador Chrome. A Microsoft também resolveu a mesma vulnerabilidade em seus produtos Edge, Teams e Skype.
O Google atribuiu a descoberta do CVE-2023-5217 ao pesquisador de segurança Clément Lecigne, membro do Threat Analysis Group (TAG) do Google, uma equipe de especialistas em segurança conhecida por descobrir zero-days explorados em ataques de spyware direcionados apoiados pelo Estado, direcionados a altas empresas. indivÃduos de risco.
A lista de dispositivos afetados pelos dois bugs de dia zero é extensa e inclui:
iPhone 8 e posterior
iPad Pro (todos os modelos), iPad Air de 3ª geração e posteriores, iPad de 5ª geração e posteriores e iPad mini de 5ª geração e posteriores
A CISA adicionou as duas vulnerabilidades [1, 2] ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas na semana passada, ordenando que as agências federais protegessem seus dispositivos contra ataques recebidos.
A Apple também abordou recentemente três dias zero (CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) relatados por pesquisadores do Citizen Lab e Google TAG. Os agentes de ameaças os exploraram para implantar o spyware Predator da Cytrox.
Além disso, o Citizen Lab encontrou duas outras vulnerabilidades de dia zero (CVE-2023-41061 e CVE-2023-41064) que foram corrigidas pela Apple no mês passado.
Essas falhas foram exploradas como parte de uma cadeia de exploração sem clique conhecida como BLASTPASS e usadas para instalar o spyware Pegasus do Grupo NSO em iPhones totalmente corrigidos.
Desde o inÃcio do ano, a Apple corrigiu 18 vulnerabilidades de dia zero exploradas para atingir iPhones e Macs, incluindo:
dois dias zero (CVE-2023-37450 e CVE-2023-38606) em julho
três dias zero (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
mais três dias zero (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
dois dias zero (CVE-2023-28206 e CVE-2023-28205) em abril
e outro dia zero do WebKit (CVE-2023-23529) em fevereiro
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/apple-fixes-ios-kernel-zero-day-vulnerability-on-older-iphones/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #apple #corrige #vulnerabilidade #de #dia #zero #do #kernel #do #ios #em #iphones #mais #antigos
Postar um comentário