Skip to content Skip to footer
0 items - 0.00Kz 0
Kambotia
0 items - 0.00Kz 0
Kambotia
Close
notícia

Apple faz backport da correção para CVE-2025-43300 explorada em ataque sofisticado de spyware

30 de janeiro de 2024 0Comments

Na segunda-feira, a Apple retroportou correções para uma falha de segurança corrigida recentemente que estava sendo explorada ativamente.

A vulnerabilidade em questão é CVE-2025-43300 (pontuação CVSS: 8,8), um problema de gravação fora dos limites no componente ImageIO que pode resultar em corrupção de memória ao processar um arquivo de imagem malicioso.

“A Apple está ciente de um relatório de que esse problema pode ter sido explorado em um ataque extremamente sofisticado contra indivíduos específicos”, disse a empresa.

Desde então, o WhatsApp reconheceu que uma vulnerabilidade em seus aplicativos de mensagens para Apple iOS e macOS (CVE-2025-55177, pontuação CVSS: 5,4) foi encadeada com CVE-2025-43300 como parte de ataques de spyware altamente direcionados, direcionados a menos de 200 indivíduos.

Embora a deficiência tenha sido abordada pela primeira vez pelo fabricante do iPhone no final do mês passado com o lançamento do iOS 18.6.2 e iPadOS 18.6.2, iPadOS 17.7.10, macOS Ventura 13.7.8, macOS Sonoma 14.7.8 e macOS Sequoia 15.6.1, ela também foi lançada para as seguintes versões mais antigas –

iOS 15.8.5 e iPadOS 15.8.5 – iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração) e iPod touch (7ª geração)

iOS 16.7.12 e iPadOS 16.7.12 – iPhone 8, iPhone 8 Plus, iPhone X, iPad 5ª geração, iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas 1ª geração

Proteção da APPLE

As atualizações foram lançadas junto com o iOS 26, iPadOS 26 , iOS 18.7, iPadOS 18.7 , macOS Tahoe 26 , macOS Sequoia 15.7 , macOS Sonoma 14.8 , tvOS 26 , visionOS 26 , watchOS 26 , Safari 26 e Xcode 26 , que também corrigem uma série de outras falhas de segurança –

  • CVE-2025-31255 – Uma vulnerabilidade de autorização no IOKit que pode permitir que um aplicativo acesse dados confidenciais
  • CVE-2025-43362 – Uma vulnerabilidade no LaunchServices que pode permitir que um aplicativo monitore as teclas digitadas sem a permissão do usuário
  • CVE-2025-43329 – Uma vulnerabilidade de permissão no Sandbox que pode permitir que um aplicativo saia do seu sandbox
  • CVE-2025-31254 – Uma vulnerabilidade no Safari que pode resultar em redirecionamento inesperado de URL ao processar conteúdo da web criado com códigos maliciosos.
  • CVE-2025-43272 – Uma vulnerabilidade no WebKit que pode resultar em travamento inesperado do Safari ao processar conteúdo da web criado com códigos maliciosos.
  • CVE-2025-43285 – Uma vulnerabilidade de permissão no AppSandbox que pode permitir que um aplicativo acesse dados protegidos do usuário
  • CVE-2025-43349 – Um problema de gravação fora dos limites no CoreAudio que pode resultar no encerramento inesperado do aplicativo ao processar um arquivo de vídeo criado com códigos maliciosos.
  • CVE-2025-43316 – Uma vulnerabilidade de permissão no DiskArbitration que pode permitir que um aplicativo obtenha privilégios de root
  • CVE-2025-43297 – Uma vulnerabilidade de confusão de tipo no gerenciamento de energia que pode resultar em uma negação de serviço
  • CVE-2025-43204 – Uma vulnerabilidade no RemoteViewServices que pode permitir que um aplicativo saia de sua sandbox
  • CVE-2025-43358 – Uma vulnerabilidade de permissão em atalhos que pode permitir que um atalho ignore as restrições da sandbox
  • CVE-2025-43333 – Uma vulnerabilidade de permissão no Spotlight que pode permitir que um aplicativo obtenha privilégios de root
  • CVE-2025-43304 – Uma vulnerabilidade de condição de corrida no StorageKit que pode permitir que um aplicativo obtenha privilégios de root
  • CVE-2025-48384 – Uma vulnerabilidade do Git no Xcode que pode resultar na execução remota de código ao clonar um repositório criado com códigos maliciosos

Embora não haja evidências de que qualquer uma das falhas mencionadas tenha sido usada como arma em ataques no mundo real, é sempre uma boa prática manter os sistemas atualizados para proteção ideal.

by Fredy Makana

Embora não haja evidências de que qualquer uma das falhas mencionadas tenha sido usada como arma em ataques no mundo real, é sempre uma boa prática manter os sistemas atualizados para proteção ideal.

Apple faz backport da correção para CVE-2025-43300 explorada em ataque sofisticado de spyware

/thehackernews.com

Tags:
0Likes

Leave a comment

+244 934 827 674
geral@kambotia.com