iOS 16.5 da Apple corrige 3 bugs de segurança já usados ​​em ataques

Apple, Google e A Microsoft lançou grandes patches este mês para corrigir várias falhas de segurança que já estão sendo usadas em ataques. Maio também foi um mês crítico para software corporativo, com GitLab, SAP e Cisco lançando correções para vários bugs em seus produtos.

Aqui está tudo o que você precisa saber sobre as atualizações de segurança lançadas em maio.

Apple iOS e iPadOS 16.5

A Apple lançou sua tão esperada atualização pontual iOS 16.5, abordando 39 problemas, três dos quais já estão sendo explorados em ataques da vida real. A atualização do iOS corrige vulnerabilidades no Kernel no coração do sistema operacional e no WebKit, o mecanismo que alimenta o navegador Safari. As três falhas já exploradas estão entre as cinco corrigidas no WebKit – rastreadas como CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373.

O CVE-2023-32409 é um problema que pode permitir que um invasor saia da caixa de proteção do conteúdo da Web remotamente, relatado por Clément Lecigne, do Grupo de análise de ameaças do Google, e Donncha Ó Cearbhaill, do Laboratório de segurança da Anistia Internacional. CVE-2023-28204 é uma falha que corre o risco de um usuário divulgar informações confidenciais. Por fim, o CVE-2023-32373 é um bug de uso após a liberação que pode permitir a execução arbitrária de código.

No início do mês, a Apple lançou o iOS 16.4.1 (a) e o iPadOS 16.4.1 (a) – a primeira atualização de resposta rápida de segurança do fabricante do iPhone – corrigindo as duas últimas vulnerabilidades exploradas do WebKit também corrigidas no iOS 16.5.

Apple iOS e iPadOS 16.5 foram lançados juntamente com iOS 15.7.6 e iPadOS 15.7.6 para iPhones mais antigos, bem como iTunes 12.12.9 para Windows, Safari 16.5, macOS Big Sur 11.7.7, macOS Ventura 13.4 e macOS Monterey 12.6. 6.

A Apple também lançou sua primeira atualização de segurança para fones de ouvido Beats e AirPods.

Microsoft

O Patch Tuesday da Microsoft no meio do mês corrigiu 40 problemas de segurança, dois dos quais eram falhas de dia zero que já estavam sendo usadas em ataques. A primeira vulnerabilidade de dia zero, CVE-2023-29336, é um bug de elevação de privilégio no driver Win32k que pode permitir que um invasor obtenha privilégios do sistema.

A segunda falha grave, CVE-2023-24932, é um problema de desvio do recurso de segurança Secure Boot que pode permitir que um invasor privilegiado execute o código. “Um invasor que explorou com sucesso esta vulnerabilidade pode ignorar o Secure Boot”, disse a Microsoft, acrescentando que a falha é difícil de explorar: “A exploração bem-sucedida desta vulnerabilidade requer que um invasor comprometa as credenciais de administrador no dispositivo”.

A atualização de segurança não é uma correção completa: ela aborda a vulnerabilidade atualizando o Windows Boot Manager, o que pode causar problemas, alertou a empresa. Etapas adicionais são necessárias neste momento para mitigar a vulnerabilidade, disse a Microsoft, apontando as etapas que os usuários afetados podem seguir para mitigar o problema.

Google Android

O Google lançou seus últimos patches de segurança do Android, corrigindo 40 falhas, incluindo uma vulnerabilidade do Kernel já explorada. As atualizações também incluem correções para problemas nos componentes Android Framework, System, Kernel, MediaTek, Unisoc e Qualcomm.

O mais grave desses problemas é uma vulnerabilidade de segurança de alta gravidade no componente Framework que pode levar à escalada local de privilégio, disse o Google, acrescentando que a interação do usuário é necessária para a exploração.

Anteriormente vinculado a fornecedores de spyware comercial, o CVE-2023-0266 é um problema de kernel que pode levar a uma escalada local de privilégio. A interação do usuário não é necessária para a exploração.