iPhones antigos precisam de ser atualizados com urgência
13 Setembro, 2023Na semana passada revelamos aqui que a Apple havia disponibilizado o novo iOS 16.6.1, bem como os iPadOS 16.6.1, macOS 13.5.2 e watchOS 9.6.2. Essa atualização foi enviada na tentativa de corrigir duas vulnerabilidades de segurança que estão a ser ativamente exploradas em ataques, e que abrangem o iPhone 8 e modelos posteriores.
Agora, a Apple está a oferecer atualizações para os iOS 15.7.9, iPadOS 15.7.9, bem como macOS Monterey 12.6.9 e macOS Big Sur 11.7.10. São sempre guiados por um imperativo de segurança com a exploração da vulnerabilidade CVE-2023-41064.
Para o iPhone, todos os modelos desde o 6s, 7 e SE (1ª geração) são afetados. A título indicativo, cerca de 13% dos telefons da Apple ativos possuem o sistema operativo iOS 15 (81% para iOS 16).
A vulnerabilidade marcada com o CVE-2023-41064 afeta a estrutura de E/S de imagem, permitindo que as aplicações leiam, e gravem, a maioria dos formatos de ficheiros de imagem. A Apple diz que a leitura de uma imagem maliciosa especialmente criada pode resultar na execução de código arbitrário.
A informação vem do Citizen Lab da Universidade de Toronto, que alertou para uma exploração de 0 clique que não requer interação do utilizador. Isto envolve comprometer um iPhone e distribuir o spyware Pegasus desenvolvido pelo Grupo NSO, que vende essa ferramenta de vigilância a governos e autoridades.
iOS 15.7.9 disponível para os iPhone mais antigos
“Chamamos a esse exploit de BLASTPASS porque ele usa um anexo PassKit (Wallet) que tem uma imagem maliciosa, enviada pelo iMessage. Quando o iPhone processar o anexo, e o exploit sequestra o controlo da estrutura BlastDoor da Apple para segurança com o iMessage”, afirma o Citizen Lab.
Foi descoberto um comprometimento no iPhone (que executava o iOS 16.6) de uma pessoa que trabalhava para uma organização da sociedade civil com sede em Washington.
Para o CVE-2023-41064, a Agência de Segurança de Sistemas de Informação dos EUA (CISA) destaca que este tipo de vulnerabilidade é um “vetor de ataque frequente para ciberatores mal-intencionados” e apresenta “riscos significativos para empresas federais”.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.