A Apple encorajou os utilizadores de dispositivos móveis e de computadores mais antigos a atualizar o seu software o mais rápido possível, uma vez que uma vulnerabilidade poderia permitir que um atacante assumisse o controlo completo de dispositivos Apple mais antigos.
Por Lucas Mearian
A Apple lançou atualizações urgentes de segurança para resolver vulnerabilidades de dia zero em iPhones, iPads, e iPods de modelos mais antigos.
Os patches abordam um problema de escrita fora dos limites que poderia ser explorado por um atacante, permitindo-lhes assumir o controlo do dispositivo afetado. A Agência de Cibersegurança e Infraestruturas dos EUA (CISA, sigla em inglês) encorajou os utilizadores e administradores de TI a reverem o aconselhamento da Apple HT213428 e a aplicarem as atualizações necessárias.
A Apple não respondeu imediatamente a um pedido de comentários sobre se as vulnerabilidades tinham chegado ao seu conhecimento através de explorações ativas, mas a sua atualização de segurança disse que “a Apple está ciente de que esta questão pode ter sido ativamente explorada”.
As falhas de software estão listadas na base de dados de Vulnerabilidades e Exposições Comuns (CVE), um sistema financiado por uma divisão do Departamento de Segurança Interna dos EUA (DHS) para assegurar a divulgação pública de vulnerabilidades e exposições de segurança.
“A questão é que, se uma página web for construída de uma certa forma, pode fazer com que o código seja executado no dispositivo fora da contenção normal e criar efetivamente uma situação de malware no dispositivo que pode comprometer dados, contactos, localização, inserção de SW maliciosos, etc.”, disse Jack Gold, analista principal da J. Gold Associates, LLC. “Portanto, é um grande negócio”, acrescentou ele.
As vulnerabilidades afetam o iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, e iPod touch (6ª geração) e computadores com versões macOS mais antigas.
O facto de a questão afetar esse grupo de dispositivos mais antigos – e não os modelos mais recentes – significa que há relativamente poucos dispositivos em risco, notou Gold. Mesmo assim, disse, qualquer pessoa com um dos dispositivos mais antigos deve atualizar o mesmo o mais rápido possível.
Embora um patch para dispositivos mais antigos possa parecer sem importância, os cibercriminosos gostam particularmente de tecnologia mais antiga sem patch, especialmente se a vulnerabilidade lhes der um controlo completo e a capacidade de obter acesso a outros sistemas e serviços.
“Um atacante pode atrair uma potencial vítima para um website especialmente criado ou utilizar a malvertising para comprometer um sistema vulnerável, explorando esta vulnerabilidade”, disse Malwarebytes num post de blogue. “Uma vez que a vulnerabilidade existe no software de renderização HTML da Apple (WebKit). O WebKit alimenta todos os navegadores web iOS e Safari, pelo que os alvos possíveis são iPhones, iPads, e Macs, que podem ser todos enganados na execução de código não autorizado”.
A questão é corrigida no iOS 15.6.1, iPadOS 15.6.1, e MacOS Monterey 12.5.1. A Apple está a encorajar os utilizadores a atualizar para as versões mais recentes do seu software.