A Apple corrige a vulnerabilidade de processamento de imagem “sem clique” de dia 0 no iOS, macOS

A Apple lançou hoje atualizações de segurança para iOS, iPadOS, macOS e watchOS para corrigir falhas de segurança de dia zero exploradas ativamente que podem ser usadas para instalar malware por meio de uma “imagem criada maliciosamente” ou anexo. As atualizações do iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 e watchOS 9.6.2 corrigem as falhas em todas as plataformas da Apple. No momento em que este artigo foi escrito, nenhuma atualização foi lançada para versões mais antigas, como iOS 15 ou macOS 12.

As falhas CVE-2023-41064 e CVE-2023-41061 foram relatadas pelo Citizen Lab da Munk School of Global Affairs & Public Policy da Universidade de Toronto. Também apelidado de “BLASTPASS”, o Citizen Lab afirma que os bugs são graves porque podem ser explorados apenas carregando uma imagem ou anexo, o que acontece regularmente no Safari, Mensagens, WhatsApp e outros aplicativos próprios e de terceiros. Esses bugs também são chamados de vulnerabilidades de “clique zero” ou “sem clique”.

Citizen Lab também disse que o bug BLASTPASS estava “sendo usado para entregar o spyware mercenário Pegasus do Grupo NSO ”, o mais recente de uma longa linha de explorações semelhantes que foram usadas para infectar dispositivos iOS e Android totalmente corrigidos.

Os usuários preocupados com esses tipos de falhas podem mitigá-los de forma proativa, ativando o Modo Lockdown em seus dispositivos iOS e macOS; entre outras coisas, ele bloqueia muitos tipos de anexos e desativa a visualização de links, os tipos de vetores de ataque que os invasores podem usar para explorar essas vulnerabilidades “sem cliques”.

“Acreditamos, e a equipe de engenharia e arquitetura de segurança da Apple nos confirmou, que o modo Lockdown bloqueia esse ataque específico”, disse o Citizen Lab.

Essas atualizações provavelmente serão algumas das últimas a serem lançadas antes do evento de anúncio de produto da Apple em setembro na próxima semana , onde esperamos obter datas de lançamento para iOS 17 , iPadOS 17 e possivelmente outros softwares.