A Apple lançou hoje uma importante atualização de segurança para iPhone, iPad e Mac. A lista de correções é curta, mas o iOS 17.1.2 e o macOS Sonoma 14.1.2 corrigem duas falhas de segurança baseadas na web que foram exploradas ativamente.
Nas notas de lançamento no dispositivo para essas atualizações, a Apple usa sua declaração típica: “Esta atualização fornece correções de segurança importantes e é recomendada para todos os usuários”.
Mas a Apple página de atualizações de segurança lista os detalhes do duas falhas exploradas – ambos eram para WebKit e relatados como explorados ativamente.
A primeira falha usava processamento web para “revelar informações confidenciais” e a segunda usava processamento web para permitir a execução arbitrária de código.
Aqui estão os detalhes completos:
Kit Web
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: o processamento de conteúdo da web pode revelar informações confidenciais. A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS anteriores ao iOS 16.7.1.
Descrição: uma leitura fora dos limites foi resolvida com validação de entrada aprimorada.
Web Kit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne do Grupo de Análise de Ameaças do GoogleKit Web
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: o processamento de conteúdo da Web pode levar à execução arbitrária de código. A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS anteriores ao iOS 16.7.1.
Descrição: uma vulnerabilidade de corrupção de memória foi resolvida com bloqueio aprimorado.
Web Kit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne do Grupo de Análise de Ameaças do Google
Relacionado:
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
