O melhor pedaço da Maçã.
Imagem de divulgação do iOS 12

iOS 12.1.4 também corrige duas vulnerabilidades críticas; brechas no app Atalhos são fechadas

Como esperado, a Apple lançou ontem o iOS 12.1.4 para corrigir uma falha envolvendo o FaceTime em grupo. O que ninguém esperava, no entanto, é que a atualização também corrigisse outras duas grandes vulnerabilidades zero-day1Brechas zero-day (ou dia zero) têm esse nome devido a uma analogia simples: a publicação de uma correção de um software é denominada “dia um”. Desta forma, se alguém for capaz de descobrir essa falha antes do lançamento da correção (logo, na data de divulgação da falha), estamos falando do “dia zero”, já que a correção ainda não foi publicada. do sistema móvel da Maçã — descobertas por pesquisadores do Project Zero, do Google.

Publicidade

CVE-2019-7286 e CVE-2019-7287 no documento do iOS divulgado hoje (https://t.co/ZsIy8nxLvU) foram explorados por aí como 0day.

De acordo com as notas de segurança da atualização do iOS 12.1.4, as falhas CVE-2019-7286 e CVE-2019-7287 se relacionam, respectivamente, aos frameworks Foundation e IOKit — ambos poderiam garantir “privilégios especiais” a hackers a partir de um problema de “corrupção de memória”.

Hawkes não revelou em quais circunstâncias as duas vulnerabilidades encontradas foram usadas; logo, não está claro se elas serviam como armas para crimes cibernéticos ou espionagem, como destacou o ZDNet.

Publicidade

Em nota, a Apple creditou as descobertas a um pesquisador anônimo, Clement Lecigne (do grupo de análise de ameaças do Google), Ian Beer e Samuel Groß (ambos do Project Zero). Portanto, se somente a correção do bug do FaceTime não foi o suficiente para convencê-lo a atualizar seu dispositivo iOS, agora talvez seja melhor reconsiderar essa decisão.

Correção do app Atalhos

Na semana passada, alertamos os perigos de baixar novos atalhos sem conhecer bem o desenvolvedor ou as informações usadas pelo serviço para completar determinada ação. Em muitos casos, tais atalhos poderiam visualizar (e roubar) contatos pessoais, endereços, histórico de navegação, uso de apps, entre outros dados.


Ícone do app Atalhos
Atalhosde Apple
Compatível com iPadsCompatível com iPhones
Versão 2.2.2 (142.8 MB)
Requer o iOS 12.0 ou superior
GrátisBadge - Baixar na App StoreCódigo QR Código QR

Para solucionar esse problema, a Apple também lançou na tarde de ontem (junto à correção do bug do FaceTime e à atualização suplementar do macOS Mojave 10.14.3) a versão 2.1.3 do app Atalhos, a qual se limitou a informar que se tratava de “correções de problemas e melhorias”. O fato é que um documento de suporte nos fornece mais detalhes dessa atualização.

Publicidade

Assim como no iOS, duas vulnerabilidades cercavam o app Atalhos: CVE-2019-7289 e CVE-2019-7290. A primeira permitia que um usuário local visualizasse informações confidenciais de outra pessoa devido um problema de análise no diretório do aplicativo (podendo ser um código do próprio atalho), enquanto a segunda contornava as restrições de sandbox da Apple para acessar informações pessoais.

A Apple também fez os devidos agradecimentos aos pesquisadores que descobriram as falhas supracitadas. Para atualizar o app Atalhos, basta acessar a aba “Atualizações” da App Store — como qualquer outro aplicativo.

via 9to5Mac, iDownloadBlog

Notas de rodapé

  • 1
    Brechas zero-day (ou dia zero) têm esse nome devido a uma analogia simples: a publicação de uma correção de um software é denominada “dia um”. Desta forma, se alguém for capaz de descobrir essa falha antes do lançamento da correção (logo, na data de divulgação da falha), estamos falando do “dia zero”, já que a correção ainda não foi publicada.

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

Promoções do dia na App Store: XCOM: Enemy Within, Cosmic-Watch, Death Worm e mais!

Próx. Post

Após promoção, Deirdre O’Brien ganha US$8 milhões em ações da Apple [atualizado]

Posts Relacionados