O melhor pedaço da Maçã.

iOS e macOS ainda não têm correção para brecha do WebKit

Safari no iPhone, no Mac e no iPad

A Apple ainda não disponibilizou a correção (disponível há semanas) para uma vulnerabilidade do WebKit com as versões mais recentes do iOS, do iPadOS e do macOS, de forma que a brecha continua aberta nesses sistemas, como divulgado pela empresa de cibersegurança Theori.

Publicidade

O WebKit é o motor que a Apple usa não apenas para seu navegador Safari, mas também para exibir páginas da web ou conteúdo HTML em aplicativos. Como tal, ele está presente em quase todas as suas plataformas — tanto móveis quanto desktop, o que significa que qualquer falha de segurança pode ter um amplo impacto.

Mais precisamente, a vulnerabilidade está na implementação da API1Application programming interface, ou interface de programação de aplicações. AudioWorklets. Embora o bug possa causar travamentos do Safari, a firma de segurança também diz que a brecha pode ser explorada.

Algumas semanas atrás, encontramos um bug explorável no WebKit que foi corrigido antes que pudéssemos relatá-lo para a Apple. Curiosamente, as versões mais recentes do iOS ainda são vulneráveis. Como outras explorações para esse bug são públicas, compartilhamos nossa análise de causa primária e exploração.

Como o nome sugere, a API AudioWorklet é responsável por reproduzir conteúdo de áudio — mas a vulnerabilidade poderia permitir que invasores executassem códigos maliciosos em dispositivos vulneráveis.

Publicidade

Na realidade, os invasores ainda teriam que passar por muitos obstáculos para realmente fazer um código não autorizado rodar nos dispositivos — eles teriam que contornar os recursos de segurança do WebKit primeiro, e isso é mais difícil do que tirar vantagem da brecha em questão.

Além disso, a falha foi corrigida por desenvolvedores no início deste mês. Ainda assim, a vulnerabilidade continua presente nas versões mais recentes do iOS e macOS, segundo o pesquisador Tim Becker.

Essa exploração foi um desafio divertido. Não esperávamos que o Safari ainda estivesse vulnerável semanas após a correção se tornar pública, mas aqui estamos…

Na semana passada, a Apple começou os testes do iOS 14.7, do iPadOS 14.7 e do macOS Big Sur 11.5 — vamos torcer, portanto, para que a empresa finalmente inclua a correção para a brecha do WebKit com essas atualizações.

via Ars Technica

Notas de rodapé

  • 1
    Application programming interface, ou interface de programação de aplicações.

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

O que é Dolby Atmos? Como ouvir músicas assim no Apple Music?

Próx. Post

Twitter Spaces chega à web e a navegadores mobile

Posts Relacionados