A Apple corrigiu duas grandes vulnerabilidades de segurança com iOS 16.3 e macOS 13.2 para modelos suportados de iPhone, iPad e Mac, de acordo com detalhes compartilhados por uma empresa de pesquisa de segurança. Essas atualizações foram lançadas para os usuários no mês passado e vieram com importantes correções de bugs e patches de segurança. A Apple creditou aos pesquisadores a descoberta dessas falhas, que permitiram que um usuário remoto ignorasse as proteções implementadas pela Apple e obtivesse acesso aos dados pessoais de um usuário, bem como à câmera, ao microfone e ao histórico de chamadas.
Empresa de pesquisa de segurança Trellix explica em uma postagem de blog que a Apple introduziu correções de segurança para bloquear a exploração de segurança ForcedEntry usada pelo NSO Group, criador do nefasto malware Pegasus , em 2021. No entanto, a empresa descobriu que essas proteções de segurança poderiam ser ignoradas por um usuário remoto e relatou as falhas à Apple.
Diz-se que a Apple usou um protocolo chamado NSPredicateVisitor para reforçar a segurança de sua ferramenta NSPredicate, que é usada pelos desenvolvedores para filtrar o código. Exploits como ForcedEntry seriam capazes de contornar esse mecanismo para obter acesso ao dispositivo do usuário.
Um invasor pode usar a falha de segurança para ignorar a caixa de proteção que impede que um aplicativo acesse dados de outros aplicativos no dispositivo, bem como informações confidenciais ou pessoais, de acordo com a empresa de segurança. Isso pode incluir mensagens, registros de chamadas, fotos, detalhes de localização, bem como hardware de smartphone, como câmera e microfone.
No entanto, parece não haver evidências de que essas falhas tenham sido exploradas por agentes mal-intencionados. Enquanto isso, os usuários que atualizaram seus dispositivos para a versão mais recente do iOS e macOS devem ser protegidos contra essas falhas de segurança, de acordo com a Trellix.
A Apple também atualizou suas notas de lançamento para iOS 16.3 e macOS 13.2, e ambos os documentos creditam Austin Emmitt, pesquisador sênior de segurança da Trellix, pela identificação de duas falhas de segurança — CVE-2023-23530 e CVE-2023-23531 — nos sistemas operacionais móveis e de desktop. Enquanto isso, a Trellix agradeceu à Apple por trabalhar rapidamente com a empresa para resolver ambas as falhas de segurança.
Os links de afiliados podem ser gerados automaticamente-consulte nossa declaração de ética para obter detalhes.
Para obter detalhes sobre os últimos lançamentos e novidades da Samsung, Xiaomi, Realme, OnePlus, Oppo e outras empresas no Mobile World Congress em Barcelona, visite nosso hub MWC 2023.