Apple lança correção para iOS e macOS zero-day

Apple lança correção para iOS e macOS zero-day, 13º este ano, para resolver uma vulnerabilidade de dia zero que a empresa diz já ter sido explorada.

Rastreado como CVE-2021-30807, a Apple disse que o dia zero impacta o  IOMobileFramebuffer , uma extensão do kernel que permite aos desenvolvedores controlar como a memória de um dispositivo lida com a exibição da tela – o framebuffer da tela.

De acordo com a Apple, um aplicativo pode explorar CVE-2021-30807 para executar código arbitrário com privilégios de kernel em um dispositivo vulnerável e sem patch. Obter acesso aos privilégios do kernel dá aos invasores controle total sobre um dispositivo, seja um iPhone, iPad ou notebook ou desktop macOS.

Em avisos de segurança para  iOS / iPadOS  e  macOS, a Apple disse que estava ciente de um relatório de que essa vulnerabilidade pode ter sido explorada, mas a empresa não entrou em detalhes.

Logo depois que o artigo da The Record sobre este problema foi ao ar, um pesquisador de segurança publicou um código de prova de conceito para a vulnerabilidade CVE-2021-30807 em sua linha do tempo do Twitter. Um segundo pesquisador de segurança, que afirma ter encontrado o mesmo bug independentemente, também publicou um artigo detalhado sobre o problema, e disse que estava se preparando para relatar à Apple antes de ficar surpreso ao descobrir que o fabricante do sistema operacional já o havia corrigido.

A Apple incentiva os usuários a atualizar para macOS Big Sur 11.5.1, iOS 14.7.1 e iPadOS 14.7.1, versões lançadas em 26 de julho para resolver a vulnerabilidade CVE-2021-30807.

As atualizações estão disponíveis para notebooks e desktops macOS, iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad de 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).

Embora haja uma chance bastante sólida de que esse “zero day” seja uma nova exploração usada pela comunidade de desbloqueio de iOS para fazer root em iPhones, também não está claro se este “zero day” está de alguma forma relacionado ao Grupo NSO, uma empresa israelense que vende ferramentas de hacking do iPhone para governos em todo o mundo, e que recentemente esteve no centro de um grande número de relatórios investigativos que expuseram alguns de seus hackers anteriores.

Os sistemas da Apple são tidos, por alguns, como seguros, no entanto esta vulnerabilidade marca o 13º zero-day que a Apple corrigiu este ano, praticamente 2 a cada mês.

As vulnerabilidades “Zero Days” anteriores são:

CVE Data do patch Descrição
CVE-2021-1782 1 de Fevereiro Um dia zero impactando os kernels macOS, iOS, iPadOS, watchOS e tvOS.
CVE-2021-1870 1 de Fevereiro WebKit zero-day impactando macOS, iOS, iPadOS e watchOS
CVE-2021-1871 1 de Fevereiro WebKit zero-day impactando macOS, iOS, iPadOS e watchOS
CVE-2021-1879 26 de março Bug do WebKit afetando iOS, iPadOS e watchOS antigos e novos
CVE-2021-30657 26 de abril O macOS Gatekeeper ignora abusos por malware Shlayer
CVE-2021-30661 26 de abril WebKit zero-day impactando iOS, iPadOS, watchOS e tvOS antigos e novos.
CVE-2021-30663 3 de maio WebKit zero-day impactando macOS, iOS, iPadOS e watchOS
CVE-2021-30665 3 de maio WebKit zero-day impactando macOS, iOS, iPadOS e watchOS
CVE-2021-30666 3 de maio WebKit zero-day impactando macOS, iOS, iPadOS e watchOS
CVE-2021-30713 24 de maio Ignorar macOS TCC abusado por malware XCSSET
CVE-2021-30761 14 de junho WebKit zero-day impactando dispositivos iOS de geração anterior
CVE-2021-30762 14 de junho WebKit zero-day impactando dispositivos iOS de geração anterior

Fonte: The Record

Veja também:

 

 

Sobre mindsecblog 1767 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Guia para backup: como proteger seus dados contra ransomware.
  2. Especialistas recomendam adoção do voto impresso em urnas eletrônicas
  3. Microsoft lança correção para o Print Nightmare

Deixe sua opinião!