A Equipe Indiana de Resposta a Emergências de Computadores ou CERT-In, nomeada pelo Ministério da Eletrônica e Tecnologia da Informação, encontrou várias vulnerabilidades altamente graves no iOS, iPadOS e macOS. Ademais, eles também encontraram algumas vulnerabilidades no ChromeOS do Google e no navegador Firefox da Mozilla. Segundo a agência, essas vulnerabilidades podem ser usadas para contornar restrições de segurança e causar ataques de negação de serviço ou DoS aos usuários, inutilizando seus dispositivos.
Máquinas que executam o macOS Catalina com um patch de segurança anterior a 2022-005, versões do macOS Big Sur anteriores a 11.6.8 e versões do macOS Monterey anteriores a 12.5 estão em risco. Essas vulnerabilidades presentes no macOS, bem como no iOS e no iPadOS podem ser exploradas remotamente por invasores; tudo o que eles precisam fazer é persuadir as vítimas a visitar um site malicioso. O invasor pode então executar um código arbitrário que contornaria as restrições de segurança e causaria o ataque DoS no dispositivo.
As vulnerabilidades no macOS existem devido à leitura fora dos limites em AppleScript, SMB e Kernel, gravação fora dos limites em áudio, ICU, PS Normalizer, GU Drivers, SMB e WebKit. Ademais, problemas de autorização foram encontrados no AppleMobileFileIntegrity; divulgação de informações no Calendário e na Biblioteca de Fotos do iCloud.
Vulnerabilidades semelhantes também foram encontradas nas versões iPadOS e iOS anteriores à 15.6.
Quanto ao Mozilla Firefox, versões anteriores a 103, versões ESR anteriores a 102.1 e 91.12 foram encontradas com falhas de segurança. Essas falhas existem devido a bugs de segurança de memória presentes no mecanismo do navegador, o cache de pré-carregamento ignora a integridade do sub-recurso e o vazamento de informações de redirecionamento de recursos entre sites ao usar a API de desempenho, para citar alguns. Usando essas brechas, os invasores podem obter acesso a informações confidenciais nas máquinas de destino.
O Google ChromeOS sofre de vulnerabilidades semelhantes ao Firefox. Eles existem nas versões do canal LTS do Google ChromeOS anteriores a 96.0.4664.215 devido à leitura fora dos limites no componente de composição, implementação incorreta na API de extensão e erro de uso após livre no componente Blink XSLT, para citar alguns.
De acordo com o CERT-In, essas vulnerabilidades podem ser corrigidas com a instalação de atualizações de software, e os usuários desses sistemas operacionais e navegadores devem instalar as atualizações de segurança mais recentes o mais rápido possível.
Com informações de Digit Magazine.