Apple corrige três vulnerabilidades zero day exploradas por atacantes no iOS

A empresa lançou atualizações de emergência para corrigir falhas que afetam dispositivos como iPhones e Apple Watches.

A empresa lançou atualizações de emergência para corrigir falhas que afetam dispositivos como iPhones e Apple Watches.

A Apple lançou uma atualização para seus sistemas operacionais iOS e iPadOS para corrigir três falhas de segurança zero day que estão sendo exploradas ativamente por atacantes. As três falhas afetam várias versões de iPhones e iPads e a última geração do iPod touch.

“A Apple está ciente de um relatório que destaca que essas falhas podem ter sido exploradas ativamente”, destacou a empresa através de um comunicado no qual descreve cada vulnerabilidade que está sendo corrigida com o lançamento do iOS e iPadOS 14.4.

A lista de dispositivos afetados inclui o iPhone 6s e as versões posteriores, o iPad Air 2 e posteriores, o iPad mini 4 e posteriores, e o iPod touch de 7ª geração. A Apple também lançou atualizações de segurança para uma das vulnerabilidades em outros de seus produtos, incluindo o Apple Watch (watchOS 7.3) e o Apple TVs (tvOS 14.4).

Como de costume, não há referências sobre os responsáveis e nem sobre os alvos por trás dos ataques zero day, que se aproveitam de vulnerabilidades no kernel do sistema operacional e do mecanismo do navegador WebKit.

A primeira falha (CVE-2021-1782), localizada no kernel do sistema operacional, é um bug de condição de corrida que pode levar a uma escalada de privilégio e pode ser explorada por um atacante através de um aplicativo malicioso. Resumindo, isso significa que os atacantes podem usar o aplicativo para obter privilégios adicionais no sistema operacional do dispositivo, o que lhes permitiria causar diversos estragos.

Enquanto isso, as outras duas falhas de segurança, registradas como CVE-2021-1871 e CVE-2021-1870, residem no componente WebKit, o mecanismo de navegador de código aberto da Apple usado pelo navegador Safari, Mail e vários outros aplicativos iOS e iPadOS. De acordo com a descrição da falha, ela tem origem em “um problema lógico” que pode ser explorado por um atacante de forma remota, permitindo a execução de um código arbitrário no sistema. De acordo com a página Vulmon, as duas falhas podem ser exploradas “persuadindo a uma vítima a visitar um site especialmente projetado para o ataque”.

Além das três vulnerabilidades zero day, que foram descobertas por pesquisadores anônimos, a Apple também lançou correções de segurança para falhas que afetam seus produtos Xcode e iCloud para Windows.

A Equipe de Resposta a Emergências de Computadores de Hong Kong (HKCERT) emitiu um alerta classificando as vulnerabilidades como de “risco extremamente alto” e orienta que os usuários dos dispositivos da Apple afetados apliquem as atualizações imediatamente. Se você não ativou as atualizações automáticas, pode atualizar seus dispositivos manualmente acessando o menu Configurações > Geral > Atualização de software.

Newsletter

Discussão