Como esperado, a Apple lançou ontem o iOS 12.1.4 para corrigir uma falha envolvendo o FaceTime em grupo. O que ninguém esperava, no entanto, é que a atualização também corrigisse outras duas grandes vulnerabilidades zero-day1Brechas zero-day (ou dia zero) têm esse nome devido a uma analogia simples: a publicação de uma correção de um software é denominada “dia um”. Desta forma, se alguém for capaz de descobrir essa falha antes do lançamento da correção (logo, na data de divulgação da falha), estamos falando do “dia zero”, já que a correção ainda não foi publicada. do sistema móvel da Maçã — descobertas por pesquisadores do Project Zero, do Google.
CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.
— Ben Hawkes (@benhawkes) 7 de fevereiro de 2019
CVE-2019-7286
eCVE-2019-7287
no documento do iOS divulgado hoje (https://t.co/ZsIy8nxLvU) foram explorados por aí como 0day.
De acordo com as notas de segurança da atualização do iOS 12.1.4, as falhas CVE-2019-7286
e CVE-2019-7287
se relacionam, respectivamente, aos frameworks Foundation e IOKit — ambos poderiam garantir “privilégios especiais” a hackers a partir de um problema de “corrupção de memória”.
Hawkes não revelou em quais circunstâncias as duas vulnerabilidades encontradas foram usadas; logo, não está claro se elas serviam como armas para crimes cibernéticos ou espionagem, como destacou o ZDNet.
Em nota, a Apple creditou as descobertas a um pesquisador anônimo, Clement Lecigne (do grupo de análise de ameaças do Google), Ian Beer e Samuel Groß (ambos do Project Zero). Portanto, se somente a correção do bug do FaceTime não foi o suficiente para convencê-lo a atualizar seu dispositivo iOS, agora talvez seja melhor reconsiderar essa decisão.
Correção do app Atalhos
Na semana passada, alertamos os perigos de baixar novos atalhos sem conhecer bem o desenvolvedor ou as informações usadas pelo serviço para completar determinada ação. Em muitos casos, tais atalhos poderiam visualizar (e roubar) contatos pessoais, endereços, histórico de navegação, uso de apps, entre outros dados.
Para solucionar esse problema, a Apple também lançou na tarde de ontem (junto à correção do bug do FaceTime e à atualização suplementar do macOS Mojave 10.14.3) a versão 2.1.3 do app Atalhos, a qual se limitou a informar que se tratava de “correções de problemas e melhorias”. O fato é que um documento de suporte nos fornece mais detalhes dessa atualização.
Assim como no iOS, duas vulnerabilidades cercavam o app Atalhos: CVE-2019-7289
e CVE-2019-7290
. A primeira permitia que um usuário local visualizasse informações confidenciais de outra pessoa devido um problema de análise no diretório do aplicativo (podendo ser um código do próprio atalho), enquanto a segunda contornava as restrições de sandbox da Apple para acessar informações pessoais.
A Apple também fez os devidos agradecimentos aos pesquisadores que descobriram as falhas supracitadas. Para atualizar o app Atalhos, basta acessar a aba “Atualizações” da App Store — como qualquer outro aplicativo.
via 9to5Mac, iDownloadBlog
Notas de rodapé
- 1Brechas zero-day (ou dia zero) têm esse nome devido a uma analogia simples: a publicação de uma correção de um software é denominada “dia um”. Desta forma, se alguém for capaz de descobrir essa falha antes do lançamento da correção (logo, na data de divulgação da falha), estamos falando do “dia zero”, já que a correção ainda não foi publicada.