Na quinta-feira, a Apple lançou uma série de atualizações que trazem alguns novos recursos para o iPhone e Mac. Mas muito mais importante, as atualizações incluem três patches críticos de dia zero para vulnerabilidades de segurança que foram exploradas ativamente. O mais alarmante dos bugs permite que um hacker acesse dados pessoais e controle seu dispositivo por meio de um aplicativo malicioso.
As falhas do WebKit abrangem a família de dispositivos da Apple e foram corrigidas em iOS 16.5, iPadOS 16.5, watchOS 9.5, macOS 13.4, e tvOS 16.5, mas também iOS/iPadOS 15.7.6, macOS Monterey 12.6.6 e macOS Big Sur 11.7.7, bem como Safari 16.5. Todas as atualizações incluem as mesmas cinco correções do WebKit, com três delas conhecidas por terem sido exploradas:
WebKit
- Impacto: O processamento de conteúdo da web pode divulgar informações confidenciais
- Descrição: Uma leitura fora dos limites foi corrigida com validação de entrada aprimorada.
-
WebKit Bugzilla: 255075
CVE-2023-32402: um pesquisador anônimo
WebKit
- Impacto: o processamento de conteúdo da Web pode revelar informações confidenciais
- Descrição: um problema de estouro de buffer foi solucionado com o gerenciamento de memória aprimorado.
-
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
- Impacto: Um invasor remoto pode conseguir escapar da caixa de proteção de conteúdo da Web. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.
- Descrição: O problema foi resolvido com verificações de limites aprimoradas.
-
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne do Grupo de Análise de Ameaças do Google e Donncha Ó Cearbhaill do Laboratório de Segurança da Anistia Internacional
WebKit
- Impacto: O processamento de conteúdo da web pode revelar informações confidenciais. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.
- Descrição: Uma leitura fora dos limites foi corrigida com validação de entrada aprimorada.
-
WebKit Bugzilla: 254930
CVE-2023-28204: um pesquisador anônimo
WebKit
- Impacto: O processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.
- Descrição: Um problema de uso após a liberação foi resolvido com gerenciamento de memória aprimorado.
-
WebKit Bugzilla: 254840
CVE-2023-32373: um pesquisador anônimo
Duas das três falhas de dia zero, CVE-2023-28204 e CVE-2023-32373, foram corrigidas anteriormente como parte do As primeiras atualizações do Rapid Security Response da Apple para iOS e iPadOS (16.4.1 (a)) e macOS Ventura (13.3.1 (a)).
Para atualizar seu iPhone ou iPad, vá para o aplicativo Configurações e, em seguida, Em geral e Atualização de software. Em um Mac, vá para Configurações do sistema, depois Geral e Atualização de software; em Macs pré-Ventura, localize o aplicativo System Preferences e Atualização de software.