Apple corrige WebKit de dia zero explorado em ataques ‘extremamente sofisticados’
A Apple lançou atualizações de segurança de emergência para corrigir um bug de dia zero que a empresa descreve como explorado em ataques “extremamente sofisticados”.
A vulnerabilidade é rastreada como CVE-2025-24201 e foi encontrada no mecanismo de navegador da Web multiplataforma WebKit usado pelo navegador Safari da Apple e muitos outros aplicativos e navegadores da Web no macOS, iOS, Linux e Windows.
“Esta é uma correção suplementar para um ataque que foi bloqueado no iOS 17.2”, disse a fabricante do iPhone em avisos de segurança emitidos na terça-feira. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado em um ataque extremamente sofisticado contra indivíduos específicos em versões do iOS anteriores ao iOS 17.2.”
A Apple disse que os invasores podem explorar a vulnerabilidade CVE-2025-24201 usando conteúdo da web criado com códigos maliciosos para sair da sandbox do conteúdo da web.
A empresa corrigiu esse problema de gravação fora dos limites com verificações aprimoradas para evitar ações não autorizadas no iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 e Safari 18.3.1.
A lista de dispositivos afetados por este dia zero é bastante extensa, pois o bug afeta modelos mais antigos e mais novos, incluindo:
- iPhone XS e posterior,
- iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas de 3ª geração e posterior, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 7ª geração e posterior e iPad mini de 5ª geração e posterior
- Macs com macOS Sequoia
- Visão Apple Pro
A Apple ainda não atribuiu a descoberta dessa vulnerabilidade de segurança a um de seus pesquisadores e ainda não publicou detalhes sobre os ataques “extremamente sofisticados” aos quais a vinculou.
Embora o bug de dia zero provavelmente tenha sido explorado apenas em ataques direcionados, é altamente recomendável instalar as atualizações de segurança de hoje o mais rápido possível para bloquear tentativas de ataque potencialmente em andamento.
Com essa vulnerabilidade, a Apple corrigiu três dias zero desde o início do ano, o primeiro em janeiro (CVE-2025-24085) e o segundo em fevereiro (CVE-2025-24200).
No ano passado, a empresa corrigiu mais seis zero-days explorados na natureza: o primeiro em janeiro, dois em março, um quarto em maio e mais dois em novembro.
No entanto, um ano antes, a Apple corrigiu 20 vulnerabilidades de dia zero exploradas em ataques, incluindo:
- dois dias zero (CVE-2023-42916 e CVE-2023-42917) em novembro
- dois dias zero (CVE-2023-42824 e CVE-2023-5217) em outubro
- cinco dias zero (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) em setembro
- dois dias zero (CVE-2023-37450 e CVE-2023-38606) em julho
- três dias zero (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
- mais três dias zero (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
- dois dias zero (CVE-2023-28206 e CVE-2023-28205) em abril
- e outro WebKit zero-day (CVE-2023-23529) em fevereiro
Fonte: BleepingComputer
Veja também:
- Troca de rosto e identidade sintética são usados para cometer fraudes
- Microsoft está com inscrições abertas para cursos gratuitos
- Malvertising infecta mais de 1 milhão de dispositivos em todo o mundo
- Hackers implantam táticas avançadas de engenharia social em ataques de phishing
- YouTube alerta criadores sobre e-mails de phishing
- Gang de Ransomware criptografa rede usando uma webcam para contornar o EDR.
- Brasil integra novo Conselho do Futuro Global de Cibersegurança do Fórum Econômico Mundial
- Fundação Estudar oferece bolsas de universidades do Brasil e exterior
- Mulheres impulsionam inovação e sustentabilidade na tecnologia
- Cycognito – você já conhece?
- Roubo de credenciais triplica em 2024
- Resiliência cibernética em foco
Be the first to comment