2022/12/14

Apple corrige falha 0-day nos iPhones

A Apple revelou ter corrigido uma vulnerabilidade crítica que permitia infectar iPhones, e que estava a ser utilizada em ataques.

A falha no WebKit foi reportada por um investigador de segurança do Threat Analysis Group da Google, e permitia que um site malicioso pudesse assumir o controlo do iPhone, instalando malware ou spyware - ou seja, o tipo mais grave de vulnerabilidade que se pode ter, e que tão procurado é por empresas de spyware (que podem pagar milhões por elas).

A Apple efectuou a correcção no iOS/iPadOS 15.7.2, iOS/iPadOS 16.2, tvOS 16.2, e macOS Ventura 13.1,  sendo de instalação urgente para quem ainda estiver numa versão anterior vulnerável.

Esta falha volta a demonstrar que não existe qualquer vantagem de segurança na obrigação que a Apple aplica, de todos os browsers no iOS e iPadOS terem que usar o motor WebKit do sistema, fazendo com que o "Chrome", "Firefox", e outros browsers que existem actualmente nos iPhones e iPad, não passem de um Safari com um interface diferente - e como tal, automaticamente expostos a todas as suas vulnerabilidades. Adicionalmente, temos a penalização da Apple ter o Safari / WebKit integrado no sistema, o que impede que possa ser actualizado como qualquer outra app, obrigando ao intrusivo processo de actualização do sistema, que pode manter um iPhone ou iPad inoperativo durante uma dezena de minutos.

Esta é a 10ª correcção 0-day feita pela Apple desde o início do ano.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]