Estávamos esperando pelo iOS 16, devido ao recente evento da Apple em que o iPhone 14 e outros produtos de hardware atualizados foram lançados ao público.
Esta manhã fizemos um Configurações > Geral > Atualização de software, apenas no caso de…
…mas nada apareceu.
Mas pouco antes das 8h desta noite, horário do Reino Unido [2022-09-12T18:31Z], uma série de notificações de atualização chegaram à nossa caixa de entrada, anunciando uma curiosa mistura de produtos Apple novos e atualizados.
Mesmo antes de lermos os boletins, tentamos Configurações > Geral > Atualização de software novamente, e desta vez nos ofereceram um upgrade para iOS 15.7, com uma atualização alternativa que nos levaria direto para iOS 16:
Uma atualização e um upgrade disponíveis ao mesmo tempo!
(Optamos pela atualização para iOS 16 – o download tinha pouco menos de 3 GB, mas depois de baixado, o processo foi mais rápido do que esperávamos e tudo até agora parece estar funcionando bem.)
Certifique-se de atualizar mesmo se você não atualizar
Só para ficar claro, se você não quiser atualização para iOS 16 ainda, você ainda precisa atualizar, Porque o iOS 15.7 e iPadOS 15.7 as atualizações incluem vários patches de segurança, incluindo uma correção para um bug chamado CVE-2022-32917.
O bug, cuja descoberta é creditada simplesmente a “um pesquisador anônimo”, é descrito da seguinte forma:
[Bug corrigido:] Kernel Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração) Impacto: um aplicativo pode executar código arbitrário com privilégios de kernel. A Apple está ciente de um relatório de que este problema pode ter sido explorado ativamente. Descrição: o problema foi resolvido com verificações de limites aprimoradas.
Como apontamos quando a última Apple patches de emergência de dia zero foi lançado, um bug de execução de código do kernel significa que mesmo aplicativos de aparência inocente (talvez incluindo aplicativos que chegaram à App Store porque não levantaram sinais de alerta óbvios quando examinados) poderiam se libertar do bloqueio de segurança aplicativo por aplicativo da Apple…
…e potencialmente assumir o controle de todo o dispositivo, incluindo obter o direito de realizar operações do sistema, como usar a câmera ou câmeras, ativar o microfone, adquirir dados de localização, fazer capturas de tela, espionar o tráfego da rede antes que ele seja criptografado (ou depois de ter sido descriptografado ), acessando arquivos pertencentes a outros aplicativos e muito mais.
Se, de facto, esta “questão” (ou brecha de segurança como você pode preferir chamá-lo) foi explorado ativamente, é razoável inferir que existem aplicativos por aí que usuários desavisados já instalaram, do que eles pensaram ser uma fonte confiável, mesmo que esses aplicativos contivessem código para ativar e abusar dessa vulnerabilidade.
Curiosamente, o macOS 11 (Big Sur) recebe sua própria atualização para MacOS 11.7, que corrige um segundo buraco de dia zero chamado CVE-2022-32894, descrito exatamente com as mesmas palavras do boletim de dia zero do iOS citado acima.
No entanto, CVE-2022-32894 está listado apenas como um bug do Big Sur, com as versões mais recentes do sistema operacional macOS 12 (Monterey), iOS 15, iPadOS 15 e iOS 16 aparentemente não afetadas.
Lembre-se de que uma falha de segurança que só foi corrigida depois que os bandidos já descobriram como explorá-la é conhecida como dia zero porque não houve nenhum dia durante o qual até mesmo o usuário ou administrador de sistema mais perspicaz poderia ter corrigido proativamente.
A história completa
As atualizações anunciadas nesta rodada de boletins incluem o seguinte.
Listamos abaixo na ordem em que chegaram por e-mail (ordem numérica inversa) para que o iOS 16 apareça na parte inferior:
- APPLE-SA-2022-09-12-5: Safari 16. Esta atualização se aplica ao macOS Big Sur (versão 11) e Monterey (versão 12). Nenhuma atualização do Safari está listada para macOS 10 (Catalina). Dois dos bugs corrigidos podem levar à execução remota de código, o que significa que um site com armadilha pode implantar malware em seu computador (que poderia posteriormente abusar do CVE-2022-32917 para assumir o controle no nível do kernel), embora nenhum desses bugs esteja listado como sendo dias zero. (Ver HT213442.)
- APPLE-SA-2022-09-12-4: MacOS Monterey 12.6 Esta atualização pode ser considerada urgente, visto que inclui uma correção para CVE-2022-32917. (Ver HT213444.)
- APPLE-SA-2022-09-12-3: macOS BigSur 11.7 Uma parcela de patches semelhante às listadas acima para macOS Monterey, incluindo o dia zero CVE-2022-32917. Esta atualização do Big Sur também corrige CVE-2022-32894, o segundo dia zero do kernel descrito acima. (Ver HT213443.)
- APPLE-SA-2022-09-12-2: iOS 15.7 e iPadOS 15.7 Conforme declarado no início do artigo, essas atualizações corrigem CVE-2022-32917. (Ver HT213445.)
- APPLE-SA-2022-09-12-1: iOS 16 O grande! Além de vários novos recursos, isso inclui os patches do Safari fornecidos separadamente para macOS (veja o topo desta lista) e uma correção para CVE-2022-32917. Curiosamente, o boletim de atualização do iOS 16 informa que “[a]entradas CVE adicionais [serão] adicionadas em breve”, mas não denota CVE-2022-23917 como dia zero. Seja porque o iOS 16 ainda não foi oficialmente considerado “em estado selvagem” ou porque a exploração conhecida ainda não funciona em um iOS 16 Beta sem patch, não podemos dizer. Mas o bug realmente parece ter sido transportado do iOS 15 para a base de código do iOS 16. (Ver HT213446.)
O que fazer?
Como sempre, Patch cedo, patch frequentemente.
Uma atualização completa do iOS 15 para iOS 16.0, conforme relata após a instalação, corrigirá os bugs conhecidos no iOS 15. (Ainda não vimos um anúncio para o iPadOS 16.)
Se você ainda não estiver pronto para a atualização, atualize para iOS 15.7, por causa do buraco do kernel de dia zero.
Em iPads, para os quais o iOS 16 ainda não foi mencionado, pegue iPadOS 15.7 agora – não espere o lançamento do iPadOS 16, pois você ficaria desnecessariamente exposto a uma falha de kernel conhecida e explorável.
Em Macs, Monterey e Big Sur recebem uma atualização dupla, uma para corrigir o Safari, que se torna Safari 16e um para o próprio sistema operacional, que o levará para MacOS 11.7 (Big Sur) ou MacOS 12.6 (Monterey).
Desta vez, nenhum patch para iOS 12 e nenhuma menção ao macOS 10 (Catalina) – se Catalina não é mais compatível ou simplesmente é muito antigo para incluir qualquer um desses bugs, não podemos dizer.
Fique atento a este espaço para quaisquer atualizações do CVE!
- Apple
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- iOS
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- OS X
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidade
- a segurança do website
- zefirnet