Apple confirma exploração de zero day do iOS 15

Apple confirma exploração de zero day do iOS 15. A Apple lança o iOS 15.0.2 para resolver uma vulnerabilidade de execução remota de código que está sendo explorada ativamente.

Os problemas de dia zero do iOS da Apple parecem estar piorando.

Poucas semanas depois de lançar o iOS 15 como uma atualização com tema de segurança , a Apple lançou um patch urgente para resolver uma falha de software que está sendo “explorada ativamente” por hackers.

O fabricante do dispositivo de Cupertino, Califórnia, confirmou o último dia zero em um comunicado e instou os usuários de iOS e iPad a atualizar para o iOS 15.0.2 mais recente.

Este é o 72º ataque violento de dia zero documentado até agora em 2021. De acordo com dados rastreados pela SecurityWeek , 16 dos 72 dias zero explorados afetam o código dos produtos da Apple.

De acordo com o comunicado da Apple , o defeito de segurança (CVE-2021-30883) existe no IOMobileFrameBuffer, uma extensão do kernel usada para gerenciar o buffer de quadro da tela.  

Um aplicativo pode ser capaz de executar código arbitrário com privilégios de kernel. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”, disse a empresa. 

Segundo o site SecurityWeek A Apple não forneceu detalhes adicionais sobre a exploração.

Pouco depois do lançamento do iOS 15.0.2, um pesquisador de segurança fez a engenharia reversa do patch e publicou um código de prova de conceito para demonstrar a gravidade do problema.

A atualização urgente ocorre menos de um mês após o lançamento do iOS 15 com um gerador de código de autenticação de dois fatores integrado e vários recursos de segurança e privacidade anti-rastreamento.

A reforma do iOS 15 também incluiu patches para pelo menos 22 vulnerabilidades de segurança documentadas, algumas sérias o suficiente para expor usuários de iPhone e iPad a ataques remotos de negação de serviço e execução de código local.

De acordo com a Apple, o autenticador integrado pode gerar códigos de verificação necessários para segurança de login adicional. Se um site oferece autenticação de dois fatores, você pode configurar códigos de verificação em Senhas em Configurações – não há necessidade de baixar um aplicativo adicional. Depois de configurados, os códigos de verificação são preenchidos automaticamente quando você faz login no site.

Outro recurso notável é o Mail Privacy Protection, um novo recurso que evita que os comerciantes por email obtenham informações sobre a atividade do Mail de um usuário do iPhone.

 

iOS 15.0.2 e iPadOS 15.0.2

Comunicado Apple de 11 de outubro de 2021

IOMobileFrameBuffer

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad de 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração)

Impacto: um aplicativo pode ser capaz de executar código arbitrário com privilégios de kernel. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.

Descrição: um problema de corrupção de memória foi resolvido com o manuseio de memória aprimorado.

CVE-2021-30883: um pesquisador anônimo

 

Fonte: SecurityWeek & Apple

Veja também:

 

About mindsecblog 1395 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. 71 razões para atualizar o Windows o mais rápido possível
  2. VirusTotal lança relatório de ransomware

Deixe sua opinião!