O segredo da Apple foi revelado: 3 dias zero corrigidos, portanto, certifique-se de corrigir agora!

Lembre-se daquela atualização discreta, mas super rápida, que a Apple expulso há três semanas, em 2023/05/01?

Essa atualização foi a primeira no novo sistema da Apple Resposta rápida de segurança processo, pelo qual a empresa pode enviar patches críticos para os principais componentes do sistema sem passar por uma atualização completa do sistema operacional que leva você a um novo número de versão.

Conforme refletimos no podcast Naked Securirty daquela semana:

A Apple acaba de lançar “Respostas rápidas de segurança”. As pessoas estão relatando que levam segundos para fazer o download e exigem uma reinicialização super rápida. [Mas] quanto a serem de boca fechada [sobre a atualização], eles são de boca fechada. Absolutamente nenhuma informação do que se tratava. Mas foi bom e rápido!

Bom para alguns

Infelizmente, essas novas respostas rápidas de segurança estavam disponíveis apenas para a versão mais recente do macOS (atualmente Ventura) e o iOS/iPadOS mais recente (atualmente na versão 16), o que deixou usuários de Macs e iDevices mais antigos, bem como proprietários de Apple Watches e Apple TVs, no escuro.

A descrição da Apple dos novos patches rápidos implicava que eles normalmente lidavam com bugs de dia zero que afetavam o software principal, como o navegador Safari e o WebKit, que é o mecanismo de renderização da Web que todo navegador é obrigado a usar em iPhones e iPads.

Tecnicamente, você poderia criar um aplicativo de navegador para iPhone ou iPad que usasse o mecanismo Chromium, como o Chrome e o Edge, ou o mecanismo Gecko, como os navegadores da Mozilla, mas a Apple não o deixaria entrar na App Store se você o fizesse.

E como a App Store é a única fonte de "jardim murado" de aplicativos para dispositivos móveis da Apple, é isso: é o jeito do WebKit, ou de jeito nenhum.

A razão pela qual os bugs críticos do WebKit tendem a ser mais perigosos do que os bugs em muitos outros aplicativos é que os navegadores gastam seu tempo intencionalmente buscando conteúdo de qualquer lugar na Internet.

Os navegadores então processam esses arquivos não confiáveis, fornecidos remotamente pelos servidores da Web de outras pessoas, convertem-nos em conteúdo visualizável e clicável e os exibem como páginas da Web com as quais você pode interagir.

Você espera que seu navegador o avise ativamente e solicite permissão explicitamente antes de realizar ações consideradas potencialmente perigosas, como ativar sua webcam, ler arquivos já armazenados em seu dispositivo ou instalar um novo software.

Mas você também espera que o conteúdo que não é considerado diretamente perigoso, como imagens a serem exibidas, vídeos a serem exibidos, arquivos de áudio a serem reproduzidos e assim por diante, sejam processados ​​e apresentados a você automaticamente.

Simplificando, apenas visitante uma página da web não deve colocar você em risco de ter malware implantado em seu dispositivo, seus dados roubados, suas senhas descobertas, sua vida digital sujeita a spyware ou qualquer má conduta desse tipo.

A menos que haja um bug

A menos, é claro, que haja um bug no WebKit (ou talvez vários bugs que podem ser combinados estrategicamente), de modo que, apenas preparando um arquivo de imagem, vídeo ou pop-up de JavaScript deliberadamente armadilhado, seu navegador possa ser induzido a fazer algo não deveria.

Se cibercriminosos, ou vendedores de spyware, ou jailbreakers, ou os serviços de segurança de um governo que não gosta de você, ou mesmo qualquer pessoa com seus piores interesses no coração, descobrirem um bug explorável desse tipo, eles podem comprometer a segurança cibernética de todo o seu dispositivo…

…simplesmente atraindo você para um site de aparência inocente que deveria ser perfeitamente seguro para visitar.

Bem, a Apple acabou de acompanhar seus patches mais recentes do Rapid Security Resonse com atualizações completas para todos os seus produtos suportados e, entre os boletins de segurança para esses patches, finalmente descobrimos quais eram essas respostas rápidas. lá para consertar.

Dois dias zero:

• CVE-2023-28204: WebKit. Uma leitura fora dos limites foi corrigida com validação de entrada aprimorada. O processamento de conteúdo da web pode revelar informações confidenciais. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.
• CVE-2023-32373: WebKit. Um problema de uso após a liberação foi resolvido com gerenciamento de memória aprimorado. O processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.

De um modo geral, quando dois zero-days desse tipo aparecem ao mesmo tempo no WebKit, é uma boa aposta que eles tenham sido combinados por criminosos para criar um ataque de aquisição em duas etapas.

Bugs que corrompem a memória substituindo dados que não devem ser tocados (por exemplo, CVE-2023-32373) são sempre ruins, mas os sistemas operacionais modernos incluem muitas proteções de tempo de execução que visam impedir que esses bugs sejam explorados para assumir o controle do programa com bugs.

Por exemplo, se o sistema operacional escolher aleatoriamente onde os programas e dados vão parar na memória, os cibercriminosos geralmente não podem fazer muito mais do que travar o programa vulnerável, porque não podem prever como o código que estão atacando é disposto na memória. .

Mas, com informações precisas sobre o que está onde, um exploit grosseiro e “crashtastic” pode às vezes ser transformado em um exploit “crash-and-keep-control”: o que é conhecido pelo nome autodescritivo de um execução remota de código buraco.

É claro que os bugs que permitem que os invasores leiam locais de memória que não deveriam (por exemplo, CVE-2023-28204) podem não apenas levar diretamente ao vazamento de dados e a explorações de roubo de dados, mas também levar indiretamente a “crash-and-keep- control”, revelando segredos sobre o layout da memória dentro de um programa e facilitando seu controle.

Curiosamente, há um terceiro dia zero corrigido nas atualizações mais recentes, mas este aparentemente não foi corrigido no Rapid Security Response.

• CVE-2023-32409: WebKit. O problema foi resolvido com verificações de limites aprimoradas. Um invasor remoto pode conseguir escapar da caixa de proteção de conteúdo da Web. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.

Como você pode imaginar, combinar esses três dias zero seria o equivalente a um home run para um invasor: o primeiro bug revela os segredos necessários para explorar o segundo bug de maneira confiável e o segundo bug permite que o código seja implantado para explorar o terceiro …

… nesse ponto, o invasor não apenas assumiu o “jardim murado” de sua página da Web atual, mas também assumiu o controle de todo o seu navegador, ou pior.

O que fazer?

Verifique se você está corrigido! (Vá para Configurações > Geral > Atualização de software.)

Mesmo os dispositivos que já receberam uma resposta rápida de segurança no início de março de 2023 ainda têm um dia zero para serem corrigidos.

E todas as plataformas receberam muitas outras correções de segurança para bugs que poderiam ser explorados para ataques tão variados quanto: ignorar as preferências de privacidade; acessar dados privados da tela de bloqueio; ler suas informações de localização sem permissão; espionar o tráfego de rede de outros aplicativos; e mais.

Após a atualização, você deverá ver os seguintes números de versão:

• watchOS: agora na versão 9.5
• tvOS: agora na versão 16.5
• iOS 15 e iPadOS 15: agora na versão 15.7.6
• iOS 16 e iPadOS 16: agora na versão 16.5
• mac OS Big Sur: agora em 11.7.7
• mac OS Monterey: agora em 12.6.6
• mac OS Ventura: agora em 13.4

Aviso importante: se você tiver o macOS Big Sur ou o macOS Monterey, esses importantes patches do WebKit não são incluídos na atualização da versão do sistema operacional, mas são fornecidos em um pacote de atualização separado chamado Safari 16.5.

Diverta-se!

---

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
• Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
• Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
• Fonte: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/