Apple lança correções emergenciais para falhas zero-day no WebKit já exploradas por hackers

A Apple entrou em modo de correção emergencial após descobrir múltiplas vulnerabilidades zero-day no WebKit sendo exploradas ativamente. As falhas afetam todas as versões suportadas de iOS, iPadOS, macOS, tvOS e Safari, impactando potencialmente centenas de milhões de dispositivos Apple no mundo todo.

As vulnerabilidades, registradas como CVE-2023-32409 e CVE-2023-28204, estão relacionadas ao processamento de conteúdo web pelo WebKit. A exploração bem-sucedida poderia permitir que atacantes executassem código arbitrário em dispositivos vulneráveis simplesmente fazendo as vítimas visitarem sites maliciosos especialmente criados. Esse tipo de ataque 'drive-by download' não requer nenhuma interação do usuário além de carregar uma página, tornando-o particularmente perigoso.

Pesquisadores de segurança analisaram as falhas e descobriram que envolvem problemas de corrupção de memória que podem ser acionados durante o processamento de conteúdo web. A Apple corrigiu esses problemas com melhorias no gerenciamento de memória e estados no WebKit. A empresa confirmou que está 'ciente de relatos de que essas vulnerabilidades podem ter sido exploradas ativamente' antes dos patches estarem disponíveis.

Este é o quarto pacote de correções zero-day lançado pela Apple em 2023, continuando uma tendência preocupante de vulnerabilidades em plataformas móveis sendo exploradas antes da disponibilidade de correções. A rápida exploração destaca como o WebKit continua sendo um alvo principal para atacantes devido ao seu papel central no ecossistema Apple - ele é usado não apenas no Safari, mas também em navegadores dentro de aplicativos e outros componentes do sistema.

Equipes de segurança corporativa devem observar que, embora sejam tecnicamente vulnerabilidades do motor de navegação, elas afetam muito mais do que apenas o Safari. Qualquer aplicativo que use WebKit para renderização web pode servir como vetor de ataque, expandindo significativamente a superfície de ataque em dispositivos Apple pessoais e corporativos.

A Apple liberou atualizações para:

Organizações que gerenciam frotas de dispositivos Apple devem priorizar essas atualizações, especialmente para funcionários que lidam com dados sensíveis ou acessam recursos corporativos a partir de dispositivos móveis. A exploração ativa em ataques direcionados sugere que os criminosos podem estar mirando alvos de alto valor, potencialmente incluindo usuários corporativos e governamentais.

Este incidente segue patches emergenciais similares de outros grandes fornecedores recentemente, incluindo a atualização crítica do Firefox da Mozilla para corrigir uma zero-day semelhante a uma recentemente corrigida no Chrome. A frequência dessas atualizações fora do ciclo normal destaca a crescente sofisticação dos criminosos em descobrir e explorar vulnerabilidades em navegadores.