De acordo com um relatório de uma empresa de segurança, a Apple ainda não corrigiu um bug de segurança presente em iPhones e Macs, apesar de lançar a correção no fim de abril. O problema reside no WebKit, o mecanismo de navegador que alimenta o Safari e outros navegadores no iOS.
Mais especificamente, o problema está relacionado ao AudioWorklet, que gerencia a saída de áudio em páginas da web e faz o Safari travar repetidamente. Com o conjunto certo de comandos, os invasores em potencial podem usar isso para explorar e executar código malicioso no iOS, macOS e até no iPadOS.
Empresa de segurança aponta a vulnerabilidade no iOS e macOS, apesar de a Apple lançar uma atualização apenas algumas semanas atrás
A empresa de segurança para pesquisadores Theori , via ArsTechnica , disse que a falha pode ser explorada e, embora uma correção esteja disponível, o bug ainda reside no iOS e macOS. “Patch-gapping” é o termo usado para descrever a exploração de uma vulnerabilidade durante a janela geralmente breve entre o momento em que ela é corrigida e quando ela se torna disponível para os usuários finais.
Este bug mais uma vez demonstra que o patch gapping é um perigo significativo no desenvolvimento de código aberto. Idealmente, o intervalo de tempo entre um patch público e o lançamento estável é o menor possível. Nesse caso, uma versão recém-lançada do iOS permanece vulnerável semanas depois que o patch se tornou público.
A correção para esta vulnerabilidade foi descoberta há três semanas por vários desenvolvedores fora da Apple. Mas, o gigante da tecnologia de Cupertino ainda não incluiu a correção nas versões mais recentes de seus sistemas operacionais. A janela presente entre um patch público e sua inserção em lançamentos oficiais deve ser a menor possível. No entanto, por várias razões desconhecidas, o gigante da tecnologia de Cupertino não reconheceu esse problema.
Escrever um exploit é freqüentemente como programar uma máquina muito estranha. Começamos com recursos limitados, sobre os quais construímos abstrações cada vez mais fortes, até atingirmos a execução arbitrária do código. A primeira etapa é determinar em quais primitivas devemos construir nossas abstrações.
Atualmente, a gigante da tecnologia está trabalhando no iOS 14.7, entre outras atualizações de software, que estão disponíveis como versões beta para desenvolvedores. Talvez a empresa forneça uma correção para a exploração do WebKit em qualquer uma dessas atualizações.
Você experimentou o travamento do Safari, o que você acha disso? Deixe-nos saber nos comentários abaixo.
Leia mais:
