A Apple lançou uma atualização urgente para iPhones, Macs e iPads, pedindo aos usuários para instalá-la imediatamente. A gigante da tecnologia alertou que não atualizar seu dispositivo Apple o expõe ao risco de ser atacado por hackers.

Antecipadamente, a Apple informou que a atualização em questão aborda questões significativas de segurança. Hackers podem explorar essa falha para invadir um dispositivo Apple que não tenha recebido a atualização por meio de seu navegador.

A nova atualização tem o número 17.1.2 para iOS e iPadOS, enquanto para dispositivos Mac, é o MacOS 14.1.2. Além disso, a Apple também lançou uma atualização para o navegador Safari, corrigindo o problema.

Uma análise mais profunda da falha de segurança

À primeira vista, hackers que exploram a vulnerabilidade podem potencialmente realizar uma “execução de código arbitrário”. Em termos mais simples, teriam acesso total para executar qualquer código desejado no dispositivo comprometido.

Portanto, o problema impactou todos os dispositivos e plataformas da Apple que suportam navegação na web. Dispositivos como Apple Watch e TV não sofreram efeito do problema e não requerem atualizações.

Geralmente, a Apple não revela muitos detalhes sobre falhas de segurança para evitar que outros hackers as explorem. Sendo assim, a gigante da tecnologia se recusa a “divulgar, discutir ou confirmar” problemas até que os tenha corrigido.

Entretanto, a Apple confirmou que estava ciente de um relatório indicando a possível exploração desse problema em dispositivos que utilizam versões iniciais do iOS.

Clément Lecigne, engenheiro de segurança do Grupo de Análise de Ameaças (TAG) do Google, descobriu a questão. O grupo se dedica a rastrear atividades de hacking patrocinadas por estados e identificar ameaças contra o Google e seus usuários, tendo um histórico de descobertas importantes de falhas de segurança cibernética no passado.

Em um período de apenas 48 horas, o TAG recentemente relatou 3 vulnerabilidades zero-day de alta gravidade nos sistemas operacionais da Apple que estão sob exploração ativa.

Na última quinta-feira (30/11), a Apple assegurou que já estava trabalhando na correção de duas dessas vulnerabilidades.

Ambos problemas têm origem no Webkit, o motor por trás do navegador Safari da Apple e vários outros aplicativos.

O bug inicial, identificado como CVE-2023-42916, possibilita que hackers adquiram informações sensíveis, especialmente quando aplicativos alimentados pelo WebKit processam conteúdo elaborado.

O segundo, CVE-2023-42917, é uma falha de corrupção de memória devido à qual dispositivos vulneráveis executam código malicioso ao processar conteúdo corrompido criado por hackers para aplicativos alimentados pelo Webkit.

Compreensivelmente, os dois bugs se complementam e podem ser explorados em conjunto para execuções de código arbitrário.

Múltiplas atualizações de segurança lançadas pela Apple em 2023

Este ano a Apple lançou diversas atualizações de segurança, o que pode ser motivo de preocupação. Os dois novos bugs corrigidos na última atualização são a 19ª e 20ª vulnerabilidades descobertas em 2023.

Embora muitos desses bugs sejam questões relativamente menores, spywares como Predator e Pegasus ainda podem explorá-los. Ambos esses spywares são conhecidos por serem usados por governos para espionar ativistas e jornalistas.

A boa notícia é que a Apple está investindo pesado na identificação de falhas de segurança em seus dispositivos e lançou várias funcionalidades de segurança, incluindo um modo de bloqueio.

A empresa contratou uma equipe de engenheiros de elite equipados com lasers, sensores ajustados e outras tecnologias avançadas para tentar encontrar vulnerabilidades relacionadas ao hardware.

Embora seja possível corrigir falhas de segurança em software por meio de atualizações de correção, não há muitas opções para resolver problemas relacionados ao hardware depois que um cliente adquire um dispositivo.