Lembra do Stagefright?
Foi um dos maiores sustos de segurança para o Android em 2015, logo após a descoberta de uma falha crítica no Mediaserver do sistema operacional que apenas por abrir um email, navegar por um site ou receber um MMS poderia executar um código malicioso no dispositivo.
Milhões de dispositivos Android eram vulneráveis, e foi algo tão preocupante que o Google se viu obrigado a se tornar mais sério sobre a forma de lançamento das atualizações e patches para os usuários no futuro. Enquanto isso, a ESET lançou um aplicativo gratuito para que todos pudessem verificar se o seu Android era vulnerável.
Claro que se você fosse proprietário de um iPhone não precisaria se preocupar, considerando que não entendia muito sobre o assunto.
E se você ainda não atualizou o seu dispositivo, está na hora de parar com o sorriso.
Agora os proprietários de iPhone, iPads, iMacs e MacBooks enfrentam o seu próprio bug parecido ao Stagefright. Esta semana, a Apple lançou patches para os sistemas operacionais OS X e iOS com o intuito de resolver diversas brechas de segurança, inclusive cinco vulnerabilidades que têm uma certa semelhança com o Stagefright.
ImageIO
Impacto: um cibercriminoso (de forma remota) pode ser capaz de executar um código arbitrário.
Descrição: diversos problemas de corrupção da memória foram corrigidos através de um melhor gerenciamento da memória.
Assim como o Stagefright, que assusta os usuários do Android, o ataque funciona por causa de bugs exploráveis na forma em que os iPhones e as Macs da Apple processam arquivos de imagem para produzir imagens em miniatura (thumbnails). As vulnerabilidades nesse código de criação do thumbnails podem ser exploradas por um arquivo de imagem maliciosamente manipulado, incluindo formatos .BMP e .TIFF, para obter a execução remota do código no dispositivo segmentado.
Em resumo, um cibercriminoso pode te enviar um .TIFF malformado por email, ou te direcionar para uma página web onde existe um, ou simplesmente enviá-lo diretamente para o seu telefone por meio de um MMS, caso saiba o seu número. Independente do caminho escolhido, caso consiga enganar o seu computador para que produza a miniatura da imagem malformada, o seu Mac ou o seu smartphone estará em perigo.
As falhas foram descobertas pelos pesquisadores da equipe Talos da Cisco, que observaram que os arquivos de imagem manipulados “são um excelente vetor para ataques, considerando que podem ser distribuídos facilmente por meio da web ou do tráfego de email sem levantar suspeitas do receptor”.
A boa notícia é que a Apple emitiu correções para o problema no início desta semana. Se você já atualizou os seus sistemas para iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2 e El Capitan v10.11.6, considere que a sua tarefa foi realizada com sucesso.
A outra boa notícia é que para os usuários da Apple normalmente é muito mais fácil instalar atualizações do que para os seus primos do Android.
Quizá puedes permitirte el lujo de tener una mirada un poco presumida, después de todo… solo asegúrate de que todos tus dispositivos están parcheados antes de que los cibercriminales traten de aprovecharse de esta falla.
Talvez agora você possa se dar ao luxo de descansar depois de tudo isso… no entanto, garanta que todos os seus dispositivos estejam atualizados antes que os cibercriminosos tentem se aproveitar desta falha.
Leia também: Por que o software é vulnerável? A importância dos patches