Threats
Após a Apple e a Google, também a Mozilla corrigiu uma vulnerabilidade de zero day relacionada com o processamento de imagens e que foi explorada por um spyware
14/09/2023
|
No passado dia 7 de setembro a Apple anunciou a existência de um novo zero day, introduzindo atualizações do iOS e do macOS para corrigir uma vulnerabilidade que foi explorada pelo spyware Pegasus do grupo NSO, sendo rastreada como CVE-2023-41064. A empresa descreveu o zero day como um buffer overflow no componente ImageIO, podendo ser explorado para a execução arbitrária de código com a utilização de imagens criadas. O grupo Citizen Lab, sediado na Munk School da Universidade de Toronto, revelou no mesmo dia que a vulnerabilidade em questão integrava a BlastPass, uma nova exploração de zero-click que foi usada para atingir os iPhones com a versão mais recente do iOS. Através de imagens maliciosas enviadas pelo iMessage, a exploração foi utilizada para entregar o spyware Pegasus, tendo como alvo um funcionário de uma “organização da sociedade civil sediada em Washington DC com escritórios internacionais”, disse o Citizen Lab. Dias depois, a 11 de setembro, a Google anunciou atualizações do Chrome para corrigir uma vulnerabilidade crítica de zero day, que tinha sido reportada pela Apple e pelo Citizen Lab. A Google, que rastreia a falha como CVE-2023-4863, disse que o problema afeta o WebP, o formato de imagem desenvolvido pela empresa. O formato WebP também é suportado pelo navegador Firefox e pelo cliente de e-mails Thunderbird, da Mozilla, sendo que a vulnerabilidade esteve presente em ambos no componente libwebp. Na terça-feira, a empresa anunciou atualizações para a correção do zero day, com o mesmo número de rastreio utilizado pela Google. Ainda a 11 de setembro, a Apple lançou atualizações para as versões mais antigas dos seus sistemas operacionais, tanto para Macs (Monterey e Big Sur) como para iPhones e iPads. Até agora, tudo indica que o zero day foi explorado apenas em ataques direcionados. No entanto, milhões de utilizadores poderão estar em risco devido à utilização generalizada do componente de processamento de imagens afetado. |
Receba todas as novidades na sua caixa de correio!
THREATS
Emails de phishing imitam OpenAI para roubar credenciais do ChatGPT
ANALYSIS
Operação da Sophos descobre vasto ecossistema de adversários na China
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
THREATS
Citrix corrige vulnerabilidades críticas no Session Recording Manager
THREATS
Vulnerabilidade não corrigida em NAS está a ser explorada
THREATS
Cibercriminosos chineses invadem telecomunicações dos EUA para espiar altos funcionários
