A Apple volta a dar uso ao seu sistema de actualização rápida para corrigir uma vulnerabilidade no Safari que podia estar a ser utilizada em ataques.
O sistema de actualizações rápidas (Rapid Security Response – RSR) reduz consideravelmente o tempo habitualmente necessário para aplicar actualizações, consistindo em actualizações de pequenas dimensões que são aplicadas com o iPhone em funcionamento, bastando fazer um reboot no final – em vez de ter que descarregar centenas de megabytes e depois potencialmente ficar com o iPhone encravado durante uma dezena de minutos à espera que a actualização seja aplicada. Uma vez que a Apple continua a ter apps como o Safari presas às actualizações do sistema e fora do processo normal de actualização de apps, este sistema acaba por ser a solução possível de momento.
A vulnerabilidade CVE-2023-37450 tem mais uma vez a ver com o WebKit usado pelo Safari (e todos os demais browsers no iOS, que são obrigados a usar o mesmo motor do sistema), permitindo que um atacante pudesse potencialmente apoderar-se do dispositivo assim que este visitasse uma página web maliciosa.
A Apple lançou as actualizações para iPhone, iPads, e macOS:
- iOS 16.5.1 (a)
- iPadOS 16.5.1 (a)
- Safari 16.5.2
macOS Ventura 13.4.1 (a)
É a décima falha zero-day que a Apple corrige este ano, sendo que todas elas estavam a ser utilizadas para infectar dispositivos com diversos spywares, quase sempre em campanhas direccionadas contra grupos específicos de pessoas, como jornalistas e políticos.
(Ptnik)