A Apple lançou hoje o iOS 17.1.2 e o iPadOS 17.1.2 para corrigir um par de vulnerabilidades de dia zero que já foram exploradas de acordo com a Apple. Uma vulnerabilidade de dia zero é aquela que os desenvolvedores não conheciam e pode ser explorada até ser mitigada. Ambas as falhas encontradas iOS 17.1.2 lidar com o mecanismo de navegador WebKit no iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração geração e posteriores e iPad mini de 5ª geração e posteriores.
A primeira vulnerabilidade pode levar à divulgação de informações confidenciais enquanto o conteúdo da web está sendo processado. A Apple afirma ter conhecimento de um relatório afirmando que a vulnerabilidade foi explorada em versões do iOS anteriores ao iOS 16.7.1. O problema recebeu um número CVE-2023-42916 de Vulnerabilidades e Exposições Comuns (CVE) e foi descoberto por Clément Lecigne do Grupo de Análise de Ameaças do Google.
Apple lança iOS 17.1.2 para corrigir duas vulnerabilidades de dia zero
A falha corrigida permitiu que os invasores lessem a memória além do buffer, permitindo-lhes ver informações confidenciais e pessoais. E estamos falando do tipo de informação que pode levar ao esvaziamento da conta bancária do usuário ou ao uso não autorizado dos cartões de crédito do usuário. A Apple diz que a leitura fora dos limites foi resolvida com validação de entrada aprimorada.
O número CVE para esta segunda vulnerabilidade é CVE-2023-42917 e também foi descoberto por Clément Lecigne do Grupo de Análise de Ameaças do Google. Com esta falha, o processamento de conteúdo da web pode levar à execução arbitrária de código, permitindo que um invasor execute qualquer comando ou código e, novamente, possivelmente roubando informações pessoais.
E como o primeiro CVE, esse é o tipo de informação que pode revelar certas senhas ou fornecer outras informações, permitindo que um invasor acesse sua conta bancária ou use seus cartões de crédito para comprar coisas que podem ser rapidamente convertidas em dinheiro. A má notícia aqui é que essa vulnerabilidade também foi explorada, segundo a Apple, antes iOS 16.7.1. A Apple disse que a vulnerabilidade de corrupção de memória foi resolvida com bloqueio aprimorado.
Para instalar a atualização vá para Configurações > Em geral > Atualização de software.