A Apple lançou mais uma rodada de patches de segurança para resolver três falhas de zero-day que afetam iOS, iPadOS, macOS, watchOS e Safari, aumentando para 16 o número total de bugs de zero-day descobertos em seus softwares este ano.
A lista de vulnerabilidades é a seguinte -
CVE-2023-41991 – Um problema de validação de certificado na estrutura de segurança que pode permitir que um aplicativo malicioso
ignore a validação de assinatura.
CVE-2023-41992 – Uma falha de segurança no Kernel que pode permitir que um invasor local eleve seus privilégios.
CVE-2023-41993 – Uma falha do WebKit que pode resultar na execução de código arbitrário ao processar conteúdo da web especialmente criado.
A Apple não forneceu detalhes adicionais, exceto o reconhecimento de que o “problema pode ter sido explorado em versões do iOS anteriores ao iOS 16.7”.
As atualizações estão disponíveis para os seguintes dispositivos e sistemas operacionais -
iOS 16.7 e iPadOS 16.7 – iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air de 3ª geração e posterior, iPad de 5ª geração e posterior e iPad mini de 5ª geração e posterior
iOS 17.0.1 e iPadOS 17.0.1 – iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração geração e posteriores, iPad mini de 5ª geração e posteriores
watchOS 9.6.3 e watchOS 10.0.1 – Apple Watch Series 4 e posterior
Safari 16.6.1 - macOS Big Sur e macOS Monterey
Os responsáveis pela descoberta e relato das deficiências são Bill Marczak, do Citizen Lab da Munk School da Universidade de Toronto, e Maddie Stone, do Threat Analysis Group (TAG) do Google.
A divulgação ocorre duas semanas depois que a Apple resolveu dois outros zero-day (CVE-2023-41061 e CVE-2023-41064) que foram encadeados como parte de uma cadeia de exploração iMessage de zero-client chamada BLASTPASS para implantar um spyware conhecido como Pégaso.
Isso foi seguido por correções de envio do Google e da Mozilla para conter uma falha de segurança (CVE-2023-4863) que poderia resultar na execução de código arbitrário ao processar uma imagem especialmente criada.
Há evidências que sugerem que tanto CVE-2023-41064, uma vulnerabilidade de buffer overflow na estrutura de análise de imagens de I/O de imagem da Apple, quanto CVE-2023-4863, um heap buffer overflow na biblioteca de imagens WebP (libwebp), podem se referir a o mesmo bug, de acordo com o fundador da Isósceles e ex-pesquisador do Google Project Zero, Ben Hawkes.
Rezilion, em análise publicada quinta-feira, revelou que a biblioteca libwebp é usada em diversos sistemas operacionais, pacotes de software, aplicativos Linux e imagens de contêiner, destacando que o escopo da vulnerabilidade é muito mais amplo do que inicialmente assumido.
“A boa notícia é que o bug parece ter sido corrigido corretamente no libwebp upstream, e esse patch está chegando a todos os lugares onde deveria ir”, disse Hawkes. "A má notícia é que a libwebp é usada em muitos lugares e pode demorar um pouco até que o patch atinja a saturação."
Comments