A Apple lançou atualizações de segurança para corrigir uma vulnerabilidade de dia zero explorada em estado selvagem por invasores para invadir iPhones e Macs com versões mais antigas do iOS e macOS.
O patch de dia zero hoje (rastreado como CVE-2021-30869) [1, 2] foi encontrado no kernel do sistema operacional XNU e foi relatado por Erye Hernandez e Clément Lecigne, do Google Threat Analysis Group, e Ian Beer, do Google Project Zero.
A exploração bem-sucedida desse bug leva à execução arbitrária de código com privilégios de kernel em dispositivos comprometidos.
“A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado”, disse a Apple ao descrever o bug de dia zero.
A lista completa de dispositivos afetados inclui:
- iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6a geração) com iOS 12.5.5
- e Macs com Atualização de Segurança 2021-006 Catalina.
Longo fluxo de dias zero explorados na natureza
Além do dia zero de hoje, a Apple teve que lidar com o que parece ser um fluxo interminável de bugs de dia zero usados em ataques direcionados a dispositivos iOS e macOS:
- dois dias zero no início deste mês, um deles também usado para instalar spyware Pegasus em iPhones,
- a exploração FORCEDENTRY divulgada em agosto (anteriormente rastreada pela Anistia Tech como Megalodon),
- três dias zero iOS (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) em fevereiro, explorados na natureza e relatados por pesquisadores anônimos,
- um dia zero do iOS (CVE-2021-1879) em março que também pode ter sido ativamente explorado,
- um dia zero no iOS (CVE-2021-30661) e um no macOS (CVE-2021-30657) em abril, explorado pelo malware Shlayer,
- três outros dias zero do iOS (CVE-2021-30663, CVE-2021-30665 e CVE-2021-30666) em maio, bugs que permitem a execução arbitrária de código remoto (RCE) simplesmente visitando sites maliciosos,
- um macOS de dia zero (CVE-2021-30713) em maio, que foi abusado pelo malware XCSSET para ignorar a proteção de privacidade TCC da Apple,
- dois bugs de dia zero do iOS (CVE-2021-30761 e CVE-2021-30762) em junho que “podem ter sido ativamente explorados” para invadir dispositivos iPhone, iPad e iPod mais antigos.
Atualização: Uma versão anterior da história dizia que a Apple corrigiu três dias zero, um deles usado para implantar spyware. Atualizamos a história para dizer corretamente que a empresa corrigiu um único dia zero explorado na natureza.
FONTE: BLEEPING COMPUTER