A Apple atualizou o iOS, o iPadOS e o macOS Sonoma com novas atualizações que corrigem duas falhas do WebKit ativamente exploradas que podem divulgar dados pessoais a atacantes.
A empresa de Cupertino lançou as versões mais recentes dos seus sistemas operativos, elevando o iOS 17 e o iPadOS 17 para a versão 17.1.2, e o macOS Sonoma para a versão 14.1.2. Estas versões centram-se na correção de falhas de segurança no WebKit, o motor de navegação web de código aberto da Apple utilizado como base para a apresentação de conteúdos web em vários navegadores de Internet.
A atualização aborda as mesmas duas vulnerabilidades no iOS, iPadOS e macOS Sonoma. Assim, este novo ‘update’ de segurança para iOS 17.1.2, iPadOS iOS 17.1.2 e macOS Sonoma 14.1.2.
Primeira falha no WebKit
Disponível para:
- iPhone XS e posterior;
- iPad Pro de 12,9 polegadas de 2.ª geração e posterior;
- iPad Pro de 10,5 polegadas;
- iPad Pro de 11 polegadas de 1.ª geração e posterior;
- iPad Air de 3.ª geração e posterior;
- iPad de 6.ª geração e posterior;
- iPad mini de 5.ª geração e posterior
- macOS Sonoma.
Impacto: O processamento de conteúdo da Web pode revelar informações confidenciais. A Apple tem conhecimento de um relatório que indica que este problema pode ter sido explorado em versões do iOS anteriores ao iOS 16.7.1.
- Descrição: Uma leitura fora dos limites foi resolvida com uma validação de entrada melhorada;
- CVE-2023-42916: Clement Lecigne, do Grupo de Análise de Ameaças do Google.
Segunda falha no WebKit
Disponível para:
- iPhone XS e posterior;
- iPad Pro de 12,9 polegadas de 2.ª geração e posterior;
- iPad Pro de 10,5 polegadas;
- iPad Pro de 11 polegadas de 1.ª geração e posterior;
- iPad Air de 3.ª geração e posterior;
- iPad de 6ª geração e posterior;
- iPad mini de 5.ª geração e posterior;
- macOS Sonoma.
Impacto: O processamento de conteúdo da Web pode levar à execução arbitrária de código. A Apple está ciente de um relato de que esse problema pode ter sido explorado em versões do iOS anteriores ao iOS 16.7.1.
- Descrição: Uma vulnerabilidade de corrupção de memória foi resolvida com um bloqueio melhorado;
- CVE-2023-42917: Clement Lecigne, do Grupo de Análise de Ameaças da Google.
O que significa
Em primeiro lugar, “Processing web content may disclose sensitive information” significa que uma vulnerabilidade no iOS pode permitir o acesso não autorizado ou a divulgação de dados pessoais durante o processamento de conteúdos Web, como a navegação no Safari.
Em seguida, uma “leitura fora dos limites” é um bug de software em que um programa lê dados fora do limite da alocação de memória pretendida. Este tipo de erro pode levar a vários problemas, incluindo o acesso não autorizado a dados sensíveis ou falhas no sistema.
A validação de entrada é um método em que o programa verifica e valida os dados que recebe para garantir que estão corretos e seguros antes de os processar. A Apple garantiu que o sistema verifica e higieniza melhor os dados de entrada, reduzindo o risco de tais vulnerabilidades.
A Apple mencionou que recebeu pelo menos um relatório de atacantes que exploraram as falhas do WebKit, pelo que a atualização do iOS 17.1.2, iPadOS 17.1.2 e macOS Sonoma 14.1.2 é fundamental para se manter seguro.