Apple lança patches urgentes para 2 falhas Zero Day

16/06/2021 mindsecblog Notícias 3

Apple lança patches urgentes para 2 falhas Zero Day no iOS12. Conjunto de patches sistema operacional móvel iOS 12 corrige bugs que a empresa diz que podem ter sido explorados ativamente.

A Apple lançou ontem, 15 de junho, atualizações de segurança para resolver duas vulnerabilidades de dia zero que foram exploradas para hackear iPhones e iPads de gerações anteriores.

Os invasores podem usar as vulnerabilidades para causar corrupção de memória com conteúdo da web criado com códigos maliciosos e para tirar proveito de um bug de uso após a liberação.

Ambas as vulnerabilidades, rastreadas como CVE-2021-30761 e CVE-2021-30762, residem no WebKit, o mecanismo de navegador usado pelo Safari e o componente usado por todos os aplicativos iOS para carregar conteúdo da web.

  • CVE-2021-30761 – Um problema de corrupção de memória que pode ser explorado para obter a execução arbitrária de código ao processar conteúdo da web criado com códigos maliciosos. A falha foi corrigida com uma gestão estadual aprimorada.
  • CVE-2021-30762 – Um problema de uso após a liberação que pode ser explorado para obter a execução arbitrária de código ao processar conteúdo da web criado com códigos maliciosos. A falha foi resolvida com um gerenciamento de memória aprimorado.

A empresa sediada em Cupertino lançou hoje o iOS 12.5.4 para corrigir os dois problemas. A versão iOS 12.5.4 , vem com correções para os bugs de segurança, incluindo um problema de corrupção de memória no ASN.1 Decoder (CVE-2021-30737) e duas falhas relacionadas ao motor do navegador WebKit que podem ser abusadas para obter código remoto execução –

A Apple disse que recebeu relatórios de pesquisadores anônimos de que os agentes de ameaças exploraram os dois bugs para executar códigos maliciosos nos dispositivos dos usuários quando o mecanismo WebKit carregava e processava conteúdo da web criado com códigos maliciosos.

A atualização se destina a dispositivos de geração antiga, como iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração), disse a Apple.

Ambos CVE-2021-30761 e CVE-2021-30762 foram relatados à Apple anonimamente, com a empresa sediada em Cupertino declarando em seu comunicado que está ciente de relatos de que as vulnerabilidades “podem ter sido ativamente exploradas”. Como geralmente é o caso, a Apple não compartilhou nenhum detalhe sobre a natureza dos ataques, as vítimas que podem ter sido o alvo ou os atores da ameaça que podem estar abusando deles.

Uma coisa evidente, no entanto, é que as tentativas de exploração ativa foram direcionadas contra proprietários de dispositivos mais antigos, como iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração). A mudança reflete uma correção semelhante que a Apple lançou em 3 de maio para remediar uma vulnerabilidade de estouro de buffer (CVE-2021-30666) no WebKit visando o mesmo conjunto de dispositivos.

Junto com as duas falhas mencionadas acima, a Apple corrigiu um total de 12 dias zero afetando iOS, iPadOS, macOS, tvOS e watchOS desde o início do ano –

Os dois dias zero corrigidos hoje marcam o 8º e o 9º dia zero ativamente explorados e corrigidos nos produtos da Apple este ano.  

CVE Data do patch Descrição
CVE-2021-1879

 26 de março Bug do WebKit afetando iOS, iPadOS e watchOS antigos e novos
CVE-2021-30657 26 de abril O macOS Gatekeeper ignora abusos por malware Shlayer
CVE-2021-30661 26 de abril WebKit zero-day impactando iOS, iPadOS, watchOS e tvOS antigos e novos.
CVE-2021-30663 3 de maio WebKit zero-day impactando macOS, iOS, iPadOS e watchOS
CVE-2021-30665 3 de maio WebKit zero-day impactando macOS, iOS, iPadOS e watchOS
CVE-2021-30666 3 de maio WebKit zero-day impactando macOS, iOS, iPadOS e watchOS
CVE-2021-30713 24 de maio Ignorar macOS TCC abusado por malware XCSSET
CVE-2021-30761 14 de junho WebKit zero-day impactando dispositivos iOS de geração anterior
CVE-2021-30762 14 de junho WebKit zero-day impactando dispositivos iOS de geração anterior

Recomenda-se aos usuários de dispositivos Apple que atualizem para as versões mais recentes para mitigar o risco associado às vulnerabilidades.

Patches iOS 12.5.4

Segurança

Disponível para: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração)

Impacto: o processamento de um certificado criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrupção de memória no decodificador ASN.1 foi solucionado com a remoção do código vulnerável.

CVE-2021-30737: xerub

WebKit

Disponível para: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração)

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode causar a execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.

Descrição: um problema de corrupção de memória foi resolvido com o gerenciamento de estado aprimorado.

CVE-2021-30761: um pesquisador anônimo

WebKit

Disponível para: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração)

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode causar a execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.

Descrição: um problema de uso após liberação foi resolvido com o gerenciamento de memória aprimorado. 

CVE-2021-30762: um pesquisador anônimo

Fonte: AppleThe Hacker News & The Record & IT News

Veja também:

 

 

About mindsecblog 2773 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

3 Trackbacks / Pingbacks

  1. Brasil sofreu 3,2 bilhões de ataques em 1Q21 segundo a Fortnet
  2. Brasil sofreu 3,2 bilhões de ataques no 1Q21 segundo a Fortnet
  3. Fleury sofre ataque e impacta diagnósticos de clientes

Deixe sua opinião!