A Apple lançou patches para iOS, macOS, watchOS e navegador Safari para resolver uma falha de segurança que poderia permitir que os invasores executem códigos arbitrários em dispositivos através de conteúdo web malicioso.
Rastreada como CVE-2021-1844, a vulnerabilidade foi descoberta e relatada à empresa por Clément Lecigne, do Grupo de Análise de Ameaças do Google, e Alison Huffman, da Microsoft Browser Vulnerability Research.
De acordo com as notas de atualização postadas pela Apple, a falha decorre de um problema de corrupção de memória que poderia levar à execução arbitrária de código ao processar conteúdo web especialmente criado. A empresa disse que o problema foi resolvido com “melhor validação”.
A atualização está disponível para dispositivos com iOS 14.4, iPadOS 14.4, macOS Big Sure watchOS 7.3.1 (Apple Watch Series 3 e posterior), e como uma atualização para o Safari para MacBooks rodando macOS Catalina e macOS Mojave.
O mais recente desenvolvimento vem na esteira de um patch para três vulnerabilidades de zero-day (CVE-2021-1782, CVE-2021-1870 e CVE-2021-1871) que foi lançado em janeiro. As fraquezas, que permitem a um invasor elevar privilégios e alcançar a execução remota de código, foram mais tarde exploradas pela equipe por trás da ferramenta de jailbreak “unc0ver” para desbloquear quase todos os modelos de iPhone rodando 14.3.
Vale a pena notar que Huffman também estava por trás da descoberta de um bug de zero-day ativamente explorado no navegador Chrome que foi abordado pelo Google na semana passada. Mas, ao contrário da falha de segurança do Chrome, não há evidências de que o CVE-2021-1844 esteja sendo explorado por hackers mal-intencionados.
Os usuários de dispositivos Apple ou aqueles que executam uma versão vulnerável do Chrome são aconselhados a instalar as atualizações o mais rápido possível para mitigar o risco associado às falhas.
Veja também: Microsoft Windows: Hackers usam o Serviço de Transferência Inteligente de Fundo (BITS)
1 comentário