Atualize seus Macs, pessoas e seus Apple Watches e iPhones, iPads e iPods Touches mais antigos.
A Apple lançou ontem (26 de setembro) uma atualização de emergência para Macs para consertar uma falha que permitiria um "atacante remoto … causar o encerramento inesperado do aplicativo ou a execução arbitrária do código".
Em linguagem simples, isso significa que um hacker pode acessar seu Mac da Internet e executar um código malicioso ou desligar aplicativos legítimos. Desnecessário dizer que isso é muito ruim.
Patches também foram lançados ontem para watchOS (5.3.2) e iOS 12 (12.4.2) para corrigir a mesma falha. Novos iPhones, iPads e iPods foram corrigidos na semana passada com o lançamento do iOS 13, mas muitos dispositivos iOS mais antigos, como o iPhone 5s, 6 e 6 Plus, precisam ficar com o iOS 12.
Os patches do Mac são para as três últimas versões do macOS - 10.14 Mojave, 10.13 High Sierra e 10.12 Sierra - mas você não receberá um novo número de versão para sua compilação. As versões mais antigas e sem suporte do macOS / OS X também são provavelmente afetadas. (Se você ainda estiver executando um desses, é hora de atualizar.)
Desvendando um mistério
A Apple não está dizendo muito mais sobre a falha, a não ser que ela envolve "uma leitura fora dos limites [que] foi tratada com validação de entrada aprimorada", foi descoberta pelos pesquisadores do Google Project Zero Samuel Groß e Natalie Silvanovich, e foi recebeu o número CVE-2019-8641 de Vulnerabilidade e Exposições Comuns (CVE).
Mas acontece que a vulnerabilidade remonta a vários meses e não foi resolvida muito depois que uma série de falhas semelhantes foi corrigida.
Esta manhã (27 de setembro), Paul Ducklin da Sophos conectou os pontos e descobriu que esta é a última de várias falhas principalmente do iOS que Groß e Silvanovich revelaram durante o verão, e a única dessas falhas a permanecer inexplicada e sem correção para quase dois meses.
Você deve se lembrar que houve uma série de falhas de mensagens da Apple reveladas no final de julho, que a Apple corrigiu principalmente com o iOS 12.4. Algumas das falhas teriam permitido que hackers assumissem o controle de iPhones simplesmente enviando uma mensagem especialmente criada.
Como é o procedimento padrão, os pesquisadores do Project Zero explicaram exatamente como os bugs funcionavam depois que a Apple lançou o iOS 12.4. Mas eles retiveram informações sobre uma falha porque sentiram que o iOS 12.4 não a corrigiu totalmente.
"Estamos retendo o CVE-2019-8641 até seu prazo porque a correção no comunicado não resolveu a vulnerabilidade", escreveu Silvanovich no Twitter em 29 de julho.
A falha misteriosa não foi revelada por mais dois meses, mesmo quando Silvanovich e Groß levaram suas pesquisas para a estrada e apresentaram suas descobertas na conferência de segurança Black Hat em agosto, e enquanto a Apple atualizava o iOS para a versão 12.4.1 e lançava um "suplemento" atualização para macOS Mojave 10.14.6.
Finalmente, divulgação completa
Agora que tudo foi realmente consertado, o gato está fora da bolsa. Silvanovich discretamente divulgou os detalhes do CVE-2019-8641 na segunda-feira (23 de setembro), após o lançamento do iOS 13, em uma postagem do blog Project Zero.
Sua explicação sobre a vulnerabilidade está além da compreensão para qualquer pessoa não versada no funcionamento interno do iOS, mas ela observou que "este problema ainda não foi corrigido para Mac e iPad, mas agora é apenas uma vulnerabilidade local devido à mudança em 12.4 .1. "
Essas vulnerabilidades locais, presumivelmente, agora foram corrigidas com a atualização do iOS 12.4.2 e os patches do macOS.
Crédito da imagem: blackzheep / Shutterstock
