Apple confirma vulnerabilidade zero-day no iOS 15

Menos de um mês depois do lançamento do iOS 15, sistema pautado pelo upgrade de segurança com uma autenticação de dois fatores embutida e configurações de privacidade, os problemas zero-day da Apple aparentam estar a piorar. A tecnológica acaba de confirmar uma nova vulnerabilidade remote code execution (CVE-2021-30883), avança a SecurityWeek. 

A Apple confirmou o zero-day num comunicado, e lançou um patch urgente em resposta à falha, que está a ser “exploited in the wild”, urgindo os utilizadores de iOS e iPad para fazerem o upgrade para o mais recente iOS 15.0.2. Segundo conta a Apple, a falha existe no IOMobileFrameBuffer, uma extensão de kernel utilizada para gerir o frame buffer do ecrã. "Uma aplicação pode ser capaz de executar código arbitrário com privilégios de kernel. A Apple tomou conhecimento de um relato de que este problema pode ter sido explorado ativamente", disse a empresa.  

Este é o 72.º ataque zero day a ser explorado ativamente em 2021. Segundo a SecurityWeek, 16 das 72 vulnerabilidades afetam o código de produtos Apple. Pouco depois do lançamento do iOS 15.0.2, um investigador de segurança inverteu o patch e publicou o código proof-of-concept para demonstrar a gravidade da questão. 

A atualização do iOS 15 também incluiu patches para pelo menos 22 vulnerabilidades de segurança, algumas suficientemente graves para expor os utilizadores de iPhone e iPad a diferentes ataques.

A Apple conta que o autenticador built-in pode gerar códigos de verificação necessários para uma segurança adicional de acesso. “Se um site oferecer autenticação two-factor, pode configurar códigos de verificação de passwords nas Definições – não é necessário fazer download de uma aplicação adicional. Uma vez configurados, os codigos de verificaçao preenchem automaticamente no sign in de um site”, completa a Apple.