A Apple lançou esta semana uma atualização de segurança com correções para vários produtos, entre elas um patche que corrige uma vulnerabilidade zero-day no iPhone 5s, 6s e 6 Plus, e iPad Air, iPad mini 2, iPad mini 3, e iPod touch (6ª geração). A Apple explicou que está ciente de relatos de que esta falha está sendo ativamente explorada por cibercriminosos.
Trata-se da CVE-2022-42856, uma vulnerabilidade do tipo type confusion no mecanismo de navegação do Webkit. A falha tinha sido corrigida em dezembro, mas para as versões mais recentes dos dispositivos Apple. Entretanto, a empresa incluiu um patch para versões mais antigas nesta atualização de janeiro. Além disso, na atualização de dezembro, o patch foi incluído para os dispositivos macOS e tvOS.
A falha pode ser explorada por um cibercriminoso através de sites falsos e, desta forma, obter execução remota de código em dispositivos que não contam com a correção. Vale lembrar que a execução arbitrária de códigos pode permitir que um cibercriminoso execute várias ações, tais como executar comandos, o que pode levar ao comprometimento de dados de acesso ou ao download de malwares nos sistemas comprometidos.
Apple corrigiu 10 vulnerabilidades zero-day em 2022
Vale a pena mencionar que a Apple corrigiu um total de 10 vulnerabilidades zero-day durante 2022. Ou seja, falhas que foram explorados por cibercriminosos antes de serem reportadas e corrigidas. Como o volume de pessoas usando o Windows e o Android é maior do que o Mac e iPhone, pode-se criar uma falsa sensação de segurança já que se considera que há menos atividade maliciosa visando as tecnologias Apple, mas a realidade é que ninguém está isento de ser vítima de um ataque de malware.