Hackers atacando iPhones, iPads e Macs — atualize agora
[ad_1]
A Apple lançou hoje (31 de março) atualizações de segurança de emergência para iOS 15 e macOS 12 Monterey, corrigindo duas falhas de segurança de dia 0 que podem já estar em uso por hackers não especificados.
Se você estiver usando um iPhone 6s, um iPhone SE authentic ou qualquer modelo posterior de iPhone ou um Mac capaz de executar o Monterey, atualize-o agora. O mesmo se aplica a todos os modelos do iPad Professional, iPod Contact de sétima geração, iPad Air 2 e posteriores, iPad Mini e posteriores e iPad de quinta geração e posteriores.
Você deseja que esses dispositivos sejam atualizados para iOS 15.4.1, iPadOS 15.4.1 ou macOS Monterey12.3.1, todos lançados hoje. (O watchOS e o tvOS da Apple também receberam atualizações hoje, embora aparentemente não incluíssem patches de segurança.)
Seu dispositivo Apple deve informar que uma atualização está disponível. Caso contrário, vá para Configurações> Geral> Atualização de instrument em um iPhone ou iPad ou Preferências do sistema> Atualização de instrument em um Mac.
Falhas graves que atingem o kernel
A atualização do Mac corrige duas vulnerabilidades de segurança. O primeiro é catalogado como CVE-2022-22674 e envolve um problema com o driving force gráfico Intel que permite que um aplicativo leia a memória do kernel – o santuário interno do sistema operacional.
Essa capacidade pode permitir que um aplicativo roube senhas, assinaturas de verificação virtual ou todos os tipos de outras informações secretas que os sistemas operacionais modernos usam para manter as coisas bloqueadas.
A segunda vulnerabilidade é catalogada como CVE-2022-22675 e é uma falha no decodificador de mídia AppleAVD. Poderia possibilitar que um aplicativo “executou código arbitrário com privilégios de kernel”, como a Apple expressou em seu comunicado de segurança.
Isso é muito sério, porque é basicamente o modo Deus – significa que um aplicativo pode fazer o que quiser no seu Mac, iPhone ou iPad.
O CVE-2022-22675 também existe no iOS e iPadOS e foi a única vulnerabilidade corrigida nas atualizações de hoje nessas plataformas. Escusado será dizer que soa tão grave em dispositivos móveis quanto em Macs.
(CVE significa “vulnerabilidades e exposições comuns” e é como o governo federal dos EUA designa problemas de segurança da informação.)
O crédito por notificar a Apple de ambas as falhas foi dado a “um pesquisador anônimo”.
Quem está por trás desses ataques?
Em ambos os casos, um aplicativo malicioso precisa entrar no seu Mac, iPhone ou iPad em primeiro lugar para realizar suas ações sujas, mas isso não é impossível se o aplicativo explorar uma falha de “dia 0” que a Apple não conhece até que o malware já tenha sido usado.
E, de fato, ambas as falhas recebem o aviso: “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”.
Em outras palavras, alguém já está usando essas vulnerabilidades para atacar Macs, iPhones e/ou iPads. A Apple não está dizendo quem, mas é provável que seja algum estado-nação perseguindo dissidentes políticos ou outro grupo indesejável.
A China usou falhas do iOS nos últimos anos para espionar ativistas uigures, e petroestados do Oriente Médio compraram spy ware comercial do iOS para monitorar dissidentes e ativistas de direitos humanos.
Então você corre alto risco de ser atacado usando essas falhas? Provavelmente ainda não.
Mas você deve atualizar seus iDevices de qualquer maneira, porque enquanto você lê isso, hackers criminosos que são muito menos discriminadores em quem eles visam estão desmontando esses patches da Apple e tentando descobrir como explorar essas vulnerabilidades. É apenas uma questão de pace até que alguém tente usar essas falhas em ataques generalizados.
[ad_2]