A Apple lançou hoje o iOS 16.5 e, embora ofereça alguns novos recursos interessantes, esses não são os únicos motivos para instalar a atualização de software mais recente da Apple em seu iPhone.
Como parece ser a norma em todos os novos lançamentos do iOS atualmente, o iOS 16.5 e seus irmãos — iPadOS 16.5, tvOS 16.5, watchOS 9.5 e macOS 13.4 — incluem uma longa lista de correções de segurança e pelo menos três deles são problemas sérios.
A Apple listou um total de 39 vulnerabilidades de segurança corrigidas no iOS 16.5 e iPadOS 16.5 , três dos quais “podem ter sido explorados ativamente.”
Embora essas três não sejam as únicas vulnerabilidades sérias, elas se tornam mais severas pelo fato de que os analistas de segurança acreditam que hackers e golpistas já as estão usando para atacar usuários de iPhone. Isso os leva além do domínio da maioria das falhas de segurança, que os pesquisadores geralmente descobrem antes que possam ser usados para causar danos.
Todas as três vulnerabilidades”ativamente exploradas”são encontradas nas estruturas do WebKit da Apple, o que significa que os invasores podem invadir seu iPhone ou acessar dados confidenciais de uma página da Web criada com códigos maliciosos ou mesmo de um link enviado para um aplicativo de mensagens que exibe visualizações da web.
Especificamente, uma das vulnerabilidades permitiria que um invasor remoto escapasse da “caixa de proteção de conteúdo da Web” — a área particionada da memória que restringe o acesso de aplicativos da Web a outros recursos do sistema. Outro poderia “divulgar informações confidenciais” e o terceiro poderia “levar à execução de código arbitrário”.
No entanto, isso não significa que essas são as únicas vulnerabilidades de segurança que estão sendo exploradas por cibercriminosos. Eles são apenas os três que os mocinhos-a Apple e os pesquisadores de segurança com quem ela trabalha-conhecem. É perfeitamente possível que algumas ou todas as 36 falhas de segurança restantes também sejam conhecidas pelos hackers de “chapéu preto” que ganham a vida tentando encontrar maneiras de entrar nos iPhones das pessoas.
Os outros problemas não são menos sérios apenas porque não há evidências de que tenham sido explorados ainda. Eles incluem coisas como uma falha nos recursos de acessibilidade e localização principal que podem permitir que um aplicativo ignore as preferências de privacidade, possivelmente fazendo coisas como ler informações confidenciais de localização ou acessar contatos e fotos sem permissão e vulnerabilidades do kernel que podem permitir que os aplicativos “executem informações arbitrárias código com privilégios de kernel [nível de sistema completo].”
Mais significativamente, agora que a Apple publicou uma lista dos problemas que foram corrigidos, também forneceu mais pistas para hackers mal-intencionados encontrarem maneiras de explorar dispositivos que ainda executam o iOS 16.4.1.
Uma rodada completa de correções de segurança
Muitos desses problemas não afetam apenas o iOS/iPadOS 16.4.1. Na verdade, corrigir essas vulnerabilidades é tão crucial que a Apple lançou hoje atualizações de segurança para dispositivos mais antigos que não são capazes de executando as versões mais recentes do iOS e macOS.
Isso inclui iOS/iPadOS 15.7.6, que corrige 17 vulnerabilidades no iOS anterior 15 e macOS Big Sur 11.7.7 e macOS Monterey 12.6.6, que corrigem mais de 25 problemas de segurança nessas versões do macOS.
O Apple Watch e a Apple TV também não são imunes a esses problemas; O watchOS 9.5 corrige 32 vulnerabilidades e o tvOS 16.5 aborda 49 problemas de segurança. Ambos também eram vulneráveis aos três problemas”ativamente explorados”.
Em outras palavras, mesmo que o novo recurso de esportes multiview não seja suficiente para convencê-lo a instalar o tvOS 16.5, os patches de segurança e as correções devem ser. O mesmo vale para os papéis de parede Pride e a guia Sports no iOS 16.5. Embora muitas pessoas fiquem nervosas com a instalação de novas atualizações de software por medo de quebrar as coisas, no mundo de hoje, o maior risco é deixar-se vulnerável por não instalar as atualizações de segurança mais recentes.
