Apple corrige vulnerabilidades críticas de dia zero em dispositivos iOS
Em um documento divulgado recentemente, a Apple confirmou a descoberta de duas vulnerabilidades significativas de dia zero que afetam dispositivos iOS e que provavelmente foram exploradas em cenários reais. Essa revelação ressalta os riscos potenciais associados a ameaças cibernéticas avançadas que visam indivíduos específicos, e não o público em geral.
Natureza das façanhas
As vulnerabilidades dizem respeito ao CoreAudio e ao RPAC, estruturas internas críticas que funcionam profundamente na arquitetura do iOS. A Apple caracterizou os ataques que utilizam essas vulnerabilidades como “extremamente sofisticados”, traçando paralelos com casos anteriores de operações de spyware direcionadas, que lembram os casos envolvendo o infame software Pegasus.
Detalhes sobre as vulnerabilidades
A primeira vulnerabilidade, identificada como CVE-2025-31200, está relacionada ao CoreAudio. A Apple explicou que “processar um fluxo de áudio em um arquivo de mídia criado com códigos maliciosos pode resultar na execução de código”.Para resolver isso, a empresa implementou uma correção focada em aprimorar o gerenciamento de corrupção de memória por meio de uma verificação de limites aprimorada.
A segunda vulnerabilidade, identificada como CVE-2025-31201, está vinculada ao RPAC, um componente de arquitetura de segurança de baixo nível. Esse problema permitia que invasores com permissões de acesso burlassem a autenticação de ponteiro, um mecanismo projetado para proteger contra ataques baseados em memória. A solução da Apple envolveu a remoção completa do código vulnerável, indicando a gravidade da falha.
Implicações e Resposta
É importante observar que a Apple normalmente se abstém de reconhecer publicamente a exploração ativa de vulnerabilidades, a menos que seja absolutamente necessário. Sua abordagem cautelosa em nomear alvos específicos ou fornecer detalhes detalhados reflete um protocolo de gerenciamento de informações confidenciais até que seja seguro divulgá-las.
O momento desses anúncios, principalmente com as atualizações sendo lançadas discretamente pouco antes da próxima WWDC, sugere que a Apple pretendia resolver esses problemas urgentes de segurança antes de voltar seu foco para novos recursos previstos no iOS 19, como uma interface de usuário redesenhada e recursos aprimorados da Siri.
Uma história de vulnerabilidades de exploração
Esta revelação não é um incidente isolado; dispositivos Apple já foram vítimas de exploits furtivos. Por exemplo, a notória vulnerabilidade FORCEDENTRY no iMessage em 2021 permitiu a instalação de spyware sem interação do usuário, destacando os riscos contínuos no ecossistema.
Atualizações disponíveis
A Apple confirmou que essas vulnerabilidades foram corrigidas nas versões 18.4.1 do iOS e iPadOS, que os usuários devem instalar o mais rápido possível, especialmente aqueles com iPhone XS ou modelos posteriores, ou iPads compatíveis. Além disso, os usuários podem encontrar correções nas atualizações para o tvOS 18.4.1, macOS Sequoia 15.4.1 e VisionOS 2.4.1.
Deixe um comentário