Pular para o conteúdo

A Apple acaba de corrigir essas 20 vulnerabilidades de segurança com iOS 18.2

Tempo de leitura: 4 minutos

Quando a Apple lançou o iOS 18.2 hoje, as manchetes se concentraram principalmente em grandes mudanças, incluindo novos recursos do Apple Intelligence, como Image Playground e Genmoji. Mas o lado silencioso de qualquer lançamento de software da Apple envolve seus patches de segurança. iOS 18.2 não é exceção: a empresa lançou 20 correções para falhas de segurança que afetam o iPhone com iOS 18.1.1 e versões anteriores. E embora nenhum deles pareça estar sendo explorado ativamente no momento, eles ressaltam a importância de atualizar seu dispositivo o mais rápido possível.

A Apple corrigiu problemas com silenciamento de chamadas, privacidade da tela de bloqueio e processamento malicioso

Quando percorri a lista de correções, algumas me chamaram a atenção em particular. A primeira é a correção de uma falha de áudio em que silenciar uma chamada enquanto ela toca pode significar falha na função de mudo. Nem é preciso dizer que você deve poder confiar no botão mudo durante uma chamada, portanto, qualquer problema que possa resultar na falha do botão mudo é preocupante. Felizmente, a Apple afirma que corrigiu uma “interface de usuário inconsistente” para resolver o problema. Outra falha preocupante afeta o VoiceOver: através de uma falha nesta função de leitor de tela, um invasor seria capaz de ler suas notificações na tela de bloqueio, quando normalmente esses alertas ficariam ocultos até que seu iPhone fosse desbloqueado.

Há também uma série de correções que evitam que aplicativos, imagens, arquivos e conteúdo da web maliciosos causem estragos em seu dispositivo. Uma falha AppleMobileFileIntegrity, por exemplo, permite que um aplicativo malicioso acesse suas informações privadas, enquanto uma falha SceneKit permite que um arquivo malicioso leve a uma negação de serviço, o que pode bloquear o acesso de um usuário autorizado ao dispositivo.

A boa notícia é que parece que ninguém correu o risco ativo de ser atacado por qualquer uma dessas falhas: a Apple não divulgou que alguma delas foi ativamente explorada, o que sugere que usuários mal-intencionados não sabem sobre as falhas ou não. saiba como aproveitá-los. Dito isto, agora que essas falhas foram expostas, é apenas uma questão de tempo até que os malfeitores descubram como explorá-las, portanto, atualizar o seu iPhone o mais rápido possível ainda é a jogada inteligente.

Você pode ver a lista completa de falhas abaixo:

  1. AppleMobileFileIntegridade (CVE-2024-54526): Um aplicativo malicioso pode acessar informações privadas. O problema foi resolvido com verificações aprimoradas.

  2. AppleMobileFileIntegridade (CVE-2024-54527): Um aplicativo pode conseguir acessar dados confidenciais do usuário. Esse problema foi resolvido com verificações aprimoradas.

  3. Áudio (CVE-2024-54503): Silenciar uma chamada enquanto ela toca pode não resultar na ativação do mudo. Um problema inconsistente na interface do usuário foi resolvido com um gerenciamento de estado aprimorado.

  4. Repórter de falhas (CVE-2024-54513): Um aplicativo pode conseguir acessar dados confidenciais do usuário. Um problema de permissões foi resolvido com restrições adicionais.

  5. FontParser (CVE-2024-54486): O processamento de uma fonte criada com códigos maliciosos pode resultar na divulgação da memória do processo. O problema foi resolvido com verificações aprimoradas.

  6. ImagemIO (CVE-2024-54500): O processamento de uma imagem criada com códigos maliciosos pode resultar na divulgação da memória do processo. O problema foi resolvido com verificações aprimoradas.

  7. Núcleo (CVE-2024-54494): Um invasor pode criar um mapeamento de memória somente leitura no qual pode ser gravado. Uma condição de corrida foi resolvida com validação adicional.

  8. Núcleo (CVE-2024-54510): Um aplicativo pode vazar estado sensível do kernel. Uma condição de corrida foi resolvida com bloqueio aprimorado.

  9. Núcleo (CVE-2024-44245): Um aplicativo pode causar o encerramento inesperado do sistema ou corromper a memória do kernel. O problema foi resolvido com um melhor gerenciamento de memória.

  10. libexpat (CVE-2024-45490): Um invasor remoto pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de código. Esta é uma vulnerabilidade no código-fonte aberto e a Apple Software está entre os projetos afetados.

  11. libxpc (CVE-2024-54514): Um aplicativo pode conseguir sair de sua sandbox. O problema foi resolvido com verificações aprimoradas.

  12. libxpc (CVE-2024-44225): Um aplicativo pode obter privilégios elevados. Um problema lógico foi resolvido com verificações aprimoradas.

  13. Senhas (CVE-2024-54492): Um invasor em uma posição privilegiada na rede pode alterar o tráfego da rede. Esse problema foi resolvido usando HTTPS ao enviar informações pela rede.

  14. Safári (CVE-2024-44246): Em um dispositivo com Private Relay habilitado, adicionar um site à lista de leitura do Safari pode revelar o endereço IP de origem do site. O problema foi resolvido com um melhor roteamento de solicitações originadas no Safari.

  15. Kit de cena (CVE-2024-54501): O processamento de um arquivo criado com códigos maliciosos pode levar à negação de serviço. O problema foi resolvido com verificações aprimoradas.

  16. VozOver (CVE-2024-54485): Um invasor com acesso físico a um dispositivo iOS pode visualizar o conteúdo da notificação na tela de bloqueio. O problema foi resolvido adicionando lógica adicional.

  17. Kit Web (CVE-2024-54479/CVE-2024-54502): O processamento de conteúdo da Web criado com códigos maliciosos pode causar uma falha inesperada no processo. O problema foi resolvido com verificações aprimoradas.

  18. Kit Web (CVE-2024-54508):O processamento de conteúdo da Web criado com códigos maliciosos pode causar uma falha inesperada no processo. O problema foi resolvido com um melhor gerenciamento de memória.

  19. Kit Web (CVE-2024-54505): O processamento de conteúdo da Web criado com códigos maliciosos pode causar corrupção de memória. Um problema de confusão de tipos foi resolvido com um melhor gerenciamento de memória.

  20. Kit Web (CVE-2024-54534): O processamento de conteúdo da Web criado com códigos maliciosos pode causar corrupção de memória. O problema foi resolvido com um melhor gerenciamento de memória.

A Apple também lançou atualizações de segurança para iPadOS, macOS Sequoia, macOS Sonoma, macOS Ventura, watchOS, tvOS e visionOS. Se você tiver algum desses dispositivos, também deverá atualizá-los o mais rápido possível.


Assuntos de Tecnologia:

  1. Como o Google reduziu as vulnerabilidades de segurança do Android em 52%
  2. Os atores de ameaças estão explorando vulnerabilidades mais rápido do que nunca
  3. Histórico de versões do iOS: todas as versões do iOS até a versão mais recente do iOS
  4. Facebook não funciona? Como corrigir problemas comuns do Facebook
  5. Skeleton Crew acaba de se tornar um idiota em um episódio cheio de aventura
  6. A Microsoft incentiva os jogadores a atualizarem para o Windows 11 enquanto tentam corrigir os bugs 24H2