Novos patches de Resposta Rápida de Segurança (RSR) da Apple foram lançados para solucionar um novo defeito de dia zero que tem sido usado em ataques e afeta iPhones, Macs e iPads totalmente corrigidos.
Respostas Rápidas de Segurança são uma nova forma de lançamento de software para iOS, iPad e Mac.
Eles fornecem atualizações de segurança significativas entre as atualizações de software, como atualizações para a pilha de estrutura WebKit, o navegador Safari ou outras bibliotecas vitais do sistema.
Além disso, eles podem ser utilizados para resolver mais rapidamente algumas questões de segurança, como aquelas que podem ter sido exploradas ou identificadas como estando “em estado selvagem”.
Se você desativar as atualizações automáticas ou não instalar o Rapid Security Responses quando estiverem disponíveis, seu dispositivo será corrigido como parte de futuras atualizações de software.
“O processamento de conteúdo da web pode levar à execução arbitrária de código. Apple está ciente de um relatório de que esta questão pode ter sido explorada ativamente”, disse a empresa.
Um pesquisador de segurança anônimo divulgou o problema, marcado CVE-2023-37450.
Detalhes da vulnerabilidade
A vulnerabilidade foi descoberta em Appledo mecanismo de navegador WebKit e permite que invasores obtenham execução arbitrária de código em dispositivos direcionados, enganando os usuários para que abram páginas da Web com informações criadas maliciosamente.
WebKit é o mecanismo de navegador usado pelo Safari, Mail, AppStore e muitos outros aplicativos em dispositivos iOS e macOS.
A empresa corrigiu esta falha de segurança melhorando as verificações para reduzir as tentativas de exploração.
Patch de emergência lançado
- MacOS Ventura 13.4.1 (a)
- iOS 16.5.1 (a)
- iPadOS 16.5.1 (a)
- Safári 16.5.2
Apple menciona que “O problema foi resolvido com verificações aprimoradas”.
No início deste mês, Apple corrigiu três vulnerabilidades de dia zero (CVE-2023-32434, CVE-2023-32435e CVE-2023-32439) que foram usados por ataques de clique zero do iMessage para instalar spyware Triangulation em iPhones.
Os primeiros três dias zero (CVE-2023-32409, CVE-2023-28204e CVE-2023-32373) foram usados para instalar spyware mercenário. Eles também foram resolvidos em maio.
Apple corrigiu mais duas fraquezas de dia zero (CVE-2023-28206 e CVE-2023-28205) em abril, que estavam sendo utilizados em cadeias de ataques para instalar spyware em dispositivos pertencentes a alvos de alto risco usando defeitos de dia zero e de dia n no Android, iOS e Chrome.
Mais de um quinto (22%) dos 41 casos publicamente conhecidos de ataques de dia zero até agora em 2023 afetaram o código de software em Apple dispositivos.
