Apple lança correção para iOS e macOS zero-day

Apple lança correção para iOS e macOS zero-day, 13º este ano, para resolver uma vulnerabilidade de dia zero que a empresa diz já ter sido explorada.

Rastreado como CVE-2021-30807, a Apple disse que o dia zero impacta o  IOMobileFramebuffer , uma extensão do kernel que permite aos desenvolvedores controlar como a memória de um dispositivo lida com a exibição da tela – o framebuffer da tela.

De acordo com a Apple, um aplicativo pode explorar CVE-2021-30807 para executar código arbitrário com privilégios de kernel em um dispositivo vulnerável e sem patch. Obter acesso aos privilégios do kernel dá aos invasores controle total sobre um dispositivo, seja um iPhone, iPad ou notebook ou desktop macOS.

Em avisos de segurança para  iOS / iPadOS  e  macOS, a Apple disse que estava ciente de um relatório de que essa vulnerabilidade pode ter sido explorada, mas a empresa não entrou em detalhes.

Logo depois que o artigo da The Record sobre este problema foi ao ar, um pesquisador de segurança publicou um código de prova de conceito para a vulnerabilidade CVE-2021-30807 em sua linha do tempo do Twitter. Um segundo pesquisador de segurança, que afirma ter encontrado o mesmo bug independentemente, também publicou um artigo detalhado sobre o problema, e disse que estava se preparando para relatar à Apple antes de ficar surpreso ao descobrir que o fabricante do sistema operacional já o havia corrigido.

A Apple incentiva os usuários a atualizar para macOS Big Sur 11.5.1, iOS 14.7.1 e iPadOS 14.7.1, versões lançadas em 26 de julho para resolver a vulnerabilidade CVE-2021-30807.

As atualizações estão disponíveis para notebooks e desktops macOS, iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad de 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).

Embora haja uma chance bastante sólida de que esse “zero day” seja uma nova exploração usada pela comunidade de desbloqueio de iOS para fazer root em iPhones, também não está claro se este “zero day” está de alguma forma relacionado ao Grupo NSO, uma empresa israelense que vende ferramentas de hacking do iPhone para governos em todo o mundo, e que recentemente esteve no centro de um grande número de relatórios investigativos que expuseram alguns de seus hackers anteriores.

Os sistemas da Apple são tidos, por alguns, como seguros, no entanto esta vulnerabilidade marca o 13º zero-day que a Apple corrigiu este ano, praticamente 2 a cada mês.

As vulnerabilidades “Zero Days” anteriores são:

Fonte: The Record

Veja também:

• ANPD publica FAQ sobre a entrada das sanções da LGPD
• Falha no HYPER-V permite ataque devastador ao Azure
• O que é threat modeling? (Modelagem de Ameaças)
• Ataque avançado de residente na memória explora falha do IIS
• Plataforma Lattes do CNPq fica fora do ar devido a servidor sem backup.
• O que é um hacker ético? Um pouco de história e dicas de como se tornar um hacker ético!
• Zoom compra o provedor de Contact Center em nuvem Five9
• O que é spyware? Você sabe tudo sobre eles?
• Autoridade Belga multa empresa por conflito na função do DPO
• Falha na Akamai deixa fora do ar diversos site e serviços online
• Justiça determina que Serasa deve deixar de vender dados pessoais
• PIS e Cofins pode ser abatidos para investimentos com a LGPD