Apple emite patches urgentes para 2 falhas de dia zero

Views: 165
0 0
Read Time:2 Minute, 37 Second

A Apple enviou na segunda-feira patches de segurança fora da banda para lidar com duas vulnerabilidades de zero-day no iOS 12.5.3 que, segundo ele, estão sendo ativamente exploradas na natureza.

A última atualização, o iOS 12.5.4, vem com correções para três bugs de segurança, incluindo um problema de corrupção de memória no decodificador ASN.1 (CVE-2021-30737) e duas falhas relativas ao seu mecanismo de navegador WebKit que poderiam ser abusadas para alcançar a execução remota de código —

  • CVE-2021-30761 – Uma questão de corrupção de memória que poderia ser explorada para obter execução arbitrária de código ao processar conteúdo web maliciosamente criado. A falha foi abordada com a melhoria da gestão estadual.
  • CVE-2021-30762 – Uma questão de uso após o livre que poderia ser explorada para obter execução arbitrária de código ao processar conteúdo web maliciosamente criado. A falha foi resolvida com melhor gerenciamento de memória.

Tanto o CVE-2021-30761 quanto o CVE-2021-30762 foram reportados à Apple anonimamente, com a empresa com sede em Cupertino afirmando em seu comunicado que está ciente de relatos de que as vulnerabilidades “podem ter sido ativamente exploradas”. Como geralmente acontece, a Apple não compartilhou detalhes sobre a natureza dos ataques, as vítimas que podem ter sido alvo, ou os atores de ameaça que podem estar abusando deles.

Uma coisa evidente, no entanto, é que as tentativas de exploração ativa foram direcionadas contra proprietários de dispositivos mais antigos como iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração). O movimento espelha uma correção semelhante que a Apple lançou em 3 de maio para corrigir uma vulnerabilidade de estouro de buffer (CVE-2021-30666) no WebKit visando o mesmo conjunto de dispositivos.

Junto com as duas falhas acima mencionadas, a Apple corrigiu um total de 12 dias zero afetando iOS, iPadOS, macOS, tvOS e watchOS desde o início do ano —

  • CVE-2021-1782 (Kernel) – Uma aplicação maliciosa pode ser capaz de elevar privilégios
  • CVE-2021-1870 (WebKit) – Um invasor remoto pode ser capaz de causar execução arbitrária de código
  • CVE-2021-1871 (WebKit) – Um invasor remoto pode ser capaz de causar execução arbitrária de código
  • CVE-2021-1879 (WebKit) – Processar conteúdo web maliciosamente criado pode levar a scripts universais entre sites
  • CVE-2021-30657 (Preferências do Sistema) – Um aplicativo malicioso pode ignorar verificações do Gatekeeper
  • CVE-2021-30661 (Armazenamento do WebKit) – O processamento de conteúdo web maliciosamente criado pode levar à execução arbitrária de códigos
  • CVE-2021-30663 (WebKit) – O processamento de conteúdo web maliciosamente criado pode levar à execução arbitrária de códigos
  • CVE-2021-30665 (WebKit) – O processamento de conteúdo web maliciosamente criado pode levar à execução arbitrária de códigos
  • CVE-2021-30666 (WebKit) – O processamento de conteúdo web maliciosamente criado pode levar à execução arbitrária de códigos
  • CVE-2021-30713 (quadro TCC) – Um aplicativo malicioso pode ser capaz de ignorar as preferências de privacidade

Recomenda-se que os usuários de dispositivos Apple atualizem as versões mais recentes para mitigar o risco associado às vulnerabilidades.

FONTE: THE HACKER NEWS

Previous post Cybersecurity Framework Profile for Ransomware Risk Management
Next post Como usar a nova ferramenta de mapeamento de dependência do Google para encontrar falhas de segurança enterradas em seus projetos

Deixe um comentário