Apple corrige o primeiro 0day do ano

A Apple lançou atualizações de segurança de emergência para lidar com uma nova vulnerabilidade de dia zero explorada ativamente, rastreada como CVE-2023-23529, que afeta iOS, iPadOS e macOS. A falha é um problema de confusão de tipos no WebKit que foi resolvido pela gigante de TI com verificações aprimoradas.

Um invasor pode obter a execução arbitrária de código enganando as vítimas para que visitem o conteúdo da Web criado com códigos maliciosos.

“O processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.” lê o comunicado publicado pela Apple.

Esta é a primeira vulnerabilidade de dia zero abordada pela Apple em 2023. Como de costume, a Apple não compartilhou detalhes sobre os ataques na natureza explorando essa falha.

A falha afeta o iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air 3ª geração e posterior, iPad 5ª geração e posterior, iPad mini 5ª geração e posterior e Macs executando o macOS Ventura.

A Apple corrigiu a falha CVE-2023-23529 com o lançamento do iOS 16.3.1, iPadOS 16.3.1 e macOS Ventura 13.2.1.

A empresa também corrigiu um problema de uso após a liberação, rastreado como CVE-2023-23514, que reside no kernel. A vulnerabilidade foi corrigida com gerenciamento de memória aprimorado.

“Um aplicativo pode executar código arbitrário com privilégios de kernel”, diz o comunicado.

A vulnerabilidade foi relatada por Xinru Chi, do Pangu Lab, e Ned Williamson, do Google Project Zero.