0
0
A Apple lançou atualizações de segurança para – perdoe a referência à cultura pop – tudo em todos os lugares ao mesmo tempo e corrigiu a vulnerabilidade do WebKit (CVE-2023-23529) explorada em estado selvagem para usuários de iPhones e iPads mais antigos.
Este último lote de atualizações de segurança tem como alvo as ramificações iOS e iPad 16.xe 15.x ; macOS Big Sur , Monterey e Ventura ; watchOS e tvOS ; Safári ; e Studio Display , um monitor de computador autônomo / monitor externo.
A correção CVE-2023-23529 para iPhones mais antigos
Atualmente, a correção mais importante entre as fornecidas é a do CVE-2023-23529, um problema de confusão de tipo no mecanismo do navegador WebKit, que pode ser acionado por conteúdo da Web criado com códigos maliciosos e, por fim, permitir a execução do código.
Relatada por um pesquisador anônimo, a falha “pode ter sido explorada ativamente” (de acordo com a Apple) e foi corrigida inicialmente no iOS 16.3.1 e iPadOS 16.3.1, macOS Ventura 13.2.1 e Safari 16.3.1 em fevereiro de 2022 .
Detalhes sobre ataques específicos que exploram essa falha ainda não foram compartilhados publicamente, mas os usuários de dispositivos iPhone 6s, 7, SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração) são aconselhados a implemente a atualização o mais rápido possível.
Outras vulnerabilidades dignas de nota
Falhas adicionais do WebKit foram corrigidas nas atualizações do Safari e macOS Ventura. Entre as vulnerabilidades mais chamativas (embora não críticas) corrigidas nesta segunda-feira estão:
- CVE-2023-27951, falha de desvio do gatekeeper que pode ser acionada com um arquivo compactado
- CVE-2023-23537, um problema de privacidade no componente Find My que pode ser explorado por um aplicativo para ler informações confidenciais de localização
- CVE-2023-27965, um problema de corrupção de memória que pode permitir que um aplicativo execute código arbitrário com privilégios de kernel
O CVE-2023-27965 foi corrigido na atualização de firmware do macOS Ventura e Studio Display.
“Aparentemente, se você estiver executando o macOS Ventura e conectou seu Mac a um Studio Display, apenas atualizar o sistema operacional Ventura em si não é suficiente para protegê-lo contra possíveis ataques no nível do sistema”, observou Paul Ducklin, Sophos Chefe de Tecnologia para a região da Ásia-Pacífico.
Ele também delineou um processo de atualização do Studio Display voltado para a segurança para os usuários que não poderão implementar a atualização imediatamente ou por um tempo (ou seja, antes que um PoC seja lançado publicamente ou os criminosos descubram como explorar a falha).
FONTE: HELPNET SECURITY