A Apple ainda não disponibilizou a correção (disponível há semanas) para uma vulnerabilidade do WebKit com as versões mais recentes do iOS, do iPadOS e do macOS, de forma que a brecha continua aberta nesses sistemas, como divulgado pela empresa de cibersegurança Theori.
O WebKit é o motor que a Apple usa não apenas para seu navegador Safari, mas também para exibir páginas da web ou conteúdo HTML em aplicativos. Como tal, ele está presente em quase todas as suas plataformas — tanto móveis quanto desktop, o que significa que qualquer falha de segurança pode ter um amplo impacto.
Mais precisamente, a vulnerabilidade está na implementação da API1Application programming interface, ou interface de programação de aplicações. AudioWorklets. Embora o bug possa causar travamentos do Safari, a firma de segurança também diz que a brecha pode ser explorada.
Como o nome sugere, a API AudioWorklet é responsável por reproduzir conteúdo de áudio — mas a vulnerabilidade poderia permitir que invasores executassem códigos maliciosos em dispositivos vulneráveis.
Na realidade, os invasores ainda teriam que passar por muitos obstáculos para realmente fazer um código não autorizado rodar nos dispositivos — eles teriam que contornar os recursos de segurança do WebKit primeiro, e isso é mais difícil do que tirar vantagem da brecha em questão.
Além disso, a falha foi corrigida por desenvolvedores no início deste mês. Ainda assim, a vulnerabilidade continua presente nas versões mais recentes do iOS e macOS, segundo o pesquisador Tim Becker.
Na semana passada, a Apple começou os testes do iOS 14.7, do iPadOS 14.7 e do macOS Big Sur 11.5 — vamos torcer, portanto, para que a empresa finalmente inclua a correção para a brecha do WebKit com essas atualizações.
via Ars Technica
Notas de rodapé
- 1Application programming interface, ou interface de programação de aplicações.