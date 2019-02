Como esperado, a Apple lançou ontem o iOS 12.1.4 para corrigir uma falha envolvendo o FaceTime em grupo. O que ninguém esperava, no entanto, é que a atualização também corrigisse outras duas grandes vulnerabilidades zero-day do sistema móvel da Maçã — descobertas por pesquisadores do Project Zero, do Google.

CVE-2019-7286 e CVE-2019-7287 no documento do iOS divulgado hoje (https://t.co/ZsIy8nxLvU) foram explorados por aí como 0day.

De acordo com a as notas de segurança da atualização do iOS 12.1.4, as falhas CVE-2019-7286 e CVE-2019-7287 se relacionam, respectivamente, às frameworks Foundation e IOKit — ambas poderiam garantir “privilégios especiais” a hackers a partir de um problema de “corrupção de memória”.

Hawkes não revelou em quais circunstâncias as duas vulnerabilidades encontradas foram usadas; logo, não está claro se elas serviam como armas para crimes cibernéticos ou espionagem, como destacou o ZDNet.

Em nota, a Apple creditou as descobertas a um pesquisador anônimo, Clement Lecigne (do grupo de análise de ameaças do Google), a Ian Beer e a Samuel Groß (ambos do Project Zero). Portanto, se somente a correção do bug do FaceTime não foi o suficiente para convencê-lo a atualizar seu dispositivo iOS, agora talvez seja melhor reconsiderar essa decisão.

Correção do app Atalhos

Na semana passada, alertamos os perigos de baixar novos atalhos sem conhecer bem o desenvolvedor ou as informações usadas pelo serviço para completar determinada ação. Em muitos casos, tais atalhos poderiam visualizar (e roubar) contatos pessoais, endereços, histórico de navegação, uso de apps, entre outros dados.

Para solucionar esse problema, a Apple também lançou na tarde de ontem (junto à correção do bug do FaceTime e à atualização suplementar do macOS Mojave 10.14.3) a versão 2.1.3 do app Atalhos, a qual se limitou a informar que se tratava de “correções de problemas e melhorias”. O fato é que um documento de suporte nos fornece mais detalhes dessa atualização.

Assim como no iOS, duas vulnerabilidades cercavam o app Atalhos: CVE-2019-7289 e CVE-2019-7290 . A primeira permitia que um usuário local visualizasse informações confidenciais de outra pessoa devido um problema de análise no diretório do aplicativo (podendo ser um código do próprio atalho), enquanto a segunda contornava as restrições de sandbox da Apple para acessar informações pessoais.

A Apple também fez os devidos agradecimentos aos pesquisadores que descobriam as falhas supracitadas. Para atualizar o app Atalhos, basta acessar a aba “Atualizações” da App Store — como qualquer outro aplicativo.

via 9to5Mac, iDownloadBlog