Apple corrige vulnerabilidade zero‑day no iOS e iPadOS

A falha está sendo explorada por cibercriminosos e afeta uma ampla gama de dispositivos, incluindo os modelos do iPhone, iPad e Apple Watch.

A falha está sendo explorada por cibercriminosos e afeta uma ampla gama de dispositivos, incluindo os modelos do iPhone, iPad e Apple Watch.

A Apple lançou uma atualização de emergência para os sistemas operacionais iOS, iPadOS e watchOS. O intuito da atualização é corrigir uma vulnerabilidade zero-day que está sendo explorada. A falha afeta vários modelos do iPhone, iPad, Apple Watch e iPod touch.

“A Apple está ciente de um relatório que indica que essa falha pode estar sendo explorada”, diz o comunicado de segurança publicado pela Apple e que descreve essa falha que está sendo corrigida com o lançamento da versão 14.4.2 do iOS e 14.4.2 do iPadOS.

A lista de dispositivos afetados inclui o iPhone 6s e posteriores, todas as versões do iPad Pro, iPad Air 2 e posteriores, a quinta geração do iPad e posteriores, iPad mini 4 e posterior e a sétima geração do iPod touch. A empresa também lançou atualizações de segurança para seus produtos Apple Watch (watchOS 7.3.3).

Considerando a gravidade da ameaça, a Apple também lançou uma atualização (iOS 12.5.2) para dispositivos mais antigos, como o iPhone 5s e o iPhone 6. Em um esforço para proteger seus clientes, a empresa não divulgou nenhuma informação sobre os cibercriminosos ou o alvo dos ataques. Enquanto isso, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança (CERT) dos Estados Unidos, Hong Kong e Cingapura emitiram alertas orientando aos usuários dos dispositivos afetados a aplicar as atualizações imediatamente.

Registrada como CVE-2021-1879, a falha de segurança reside no WebKit, o mecanismo de navegador de código aberto da Apple usado pelo navegador Safari, Mail e vários outros aplicativos iOS e iPadOS. “O processamento de conteúdo web malicioso pode levar a ataques de cross site scripting entre sites”, diz a descrição da vulnerabilidade.

De acordo com o site CyberSecurityHelp, um atacante remoto que consegue enganar sua vítima para que clique em um link especialmente criado e execute um código arbitrário poderia roubar dados confidenciais, realizar um ataque de phishing ou de drive-by-download, assim como alterar a aparência do site.

A descoberta e divulgação da vulnerabilidade foram atribuídas a Clément Lecigne e Billy Leonard do Grupo de Análise de Ameaças do Google. Essa não é a primeira vez que os pesquisadores de segurança do Google descobrem uma falha que afeta os dispositivos da Apple. No ano passado, por exemplo, a equipe Project Zero do Google encontrou três vulnerabilidades zero-day que afetam uma longa lista de produtos da Apple. No início deste ano, a Apple também teve que lançar uma atualização de emergência para corrigir três falhas zero-day que também afetaram uma ampla gama de produtos.

Caso o seu dispositivo não esteja com a opção de atualizações automáticas ativada, você pode atualizar seu iPhone e iPad manualmente através do menu Configurações > opção Geral > Atualização de Software.

Newsletter

Discussão