2021/01/27

Apple lança iOS 14.4 com correcção de vulnerabilidades usadas em ataques

Numa situação pouco habitual, a Apple lançou o iOS 14.4 com correcções de falhas que estavam a ser usadas activamente em ataques de hackers, sendo aconselhável instalá-la quanto antes.

É extremamente comum que uma actualização do iOS seja acompanhada pela referência a correcções de vulnerabilidades, mas quase sempre acompanhadas pela referência de que não tinham sido detectadas tentativas de as utilizar. Tal não é o caso com a chegada do iOS 14.4, que refere expressamente três vulnerabilidades, afectando o kernel e o WebKit (usado por todos os browsers no iOS), e onde diz que estas falhas estariam a ser usadas em ataques.
Kernel
CVE-2021-1782: an anonymous researcher
Impact: A malicious application may be able to elevate privileges. Apple is aware of a report that this issue may have been actively exploited.

WebKit
CVE-2021-1871: an anonymous researcher
CVE-2021-1870: an anonymous researcher
Impact: A remote attacker may be able to cause arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

A Apple não dá detalhes adicionais, pelo que não se pode determinar se estas falhas estarão relacionadas com o caso ocorrido o mês passado, em que foram detectados dezenas de jornalistas com iPhones infectados por spyware do NSO Group usando um método desconhecido,; ou se com a mais recente campanha de ataques contra investigadores de segurança, embora seja mais provável que seja o primeiro caso.

Esta não é a primeira vez que os iPhones são apanhados com falhas que permitem instalação remota de spyware - tendo já havido casos em que tal era possível com o envio de uma simples mensagem, ou visita a um site com código malicioso - pelo que, na impossibilidade de haver um sistema 100% seguro, a componente mais importante que se segue é disponibilizar as actualizações de segurança no mínimo espaço de tempo, e garantir que chega ao maior número de equipamentos afectados o mais rapidamente possível.


Esta actualização traz também a classificação de dispositivos Bluetooth, reconhecimento de códigos QR de tamanho mais reduzido, e notificações de alerta caso se esteja a usar uma câmara nã-verificada nos iPhone 12 (em caso de substituição numa loja não oficial).

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]