Vulnerabilidades no macOS chamam a atenção de CZ.
A Apple emitiu um patch crítico abordando duas vulnerabilidades 0-day ativamente exploradas por hackers visando computadores Mac baseados em Intel.
⚠️ ALERTA URGENTE!
A Apple confirma vulnerabilidades ativas 0-day visando sistemas macOS baseados em Intel. Seus dados podem estar em risco—Atualize AGORA! #zerodayflaws #AppleSecurity #macosupdate #cybersecurityalert #VPNRanks #TechNewsUpdate pic.twitter.com/nb75wLCPo4
— VPNRanks (@VPNRanks) 20 de novembro de 2024
De acordo com o aviso da Apple de 19 de novembro, essas falhas envolvem o processamento de conteúdo web maliciosamente elaborado, apresentando riscos significativos para os usuários.
A urgência da atualização chamou a atenção de Changpeng Zhao (CZ), cofundador e ex-CEO da Binance, que instou os usuários a agir imediatamente atualizando seus sistemas para mitigar a exposição potencial a esses exploits.
Se você usa um Macbook com chip baseado em Intel, atualize o mais rápido possível!
Fique SAFU! https://t.co/mk2Jsicnte
— CZ 🔶 BNB (@cz_binance) 20 de novembro de 2024
Ele apontou mais tarde no X (anteriormente conhecido como Twitter) que atualizar os telefones é uma correção de segurança importante.
Atualize também seus iPhones. Correção de segurança importante. https://t.co/rPKZzp41Ut https://t.co/29s0Wsj8cQ
— CZ 🔶 BNB (@cz_binance) 21 de novembro de 2024
A Apple apressa-se para corrigir a exploração, detalhes ainda escassos.
A Apple identificou e corrigiu duas vulnerabilidades críticas ativamente exploradas no mundo, rotuladas como CVE-2024-44308 e CVE-2024-44309.
A primeira falha, encontrada no JavaScriptCore, permitiu a execução de código malicioso sem o consentimento do usuário.
A Apple resolveu esse problema implementando verificações de validação aprimoradas.
A segunda vulnerabilidade, enraizada no mecanismo de navegador WebKit, possibilitou ataques de injeção de script entre sites, permitindo que hackers injetassem código malicioso em sites ou aplicativos.
A Apple acabou de corrigir duas vulnerabilidades 0-day, em JavaScript e WebKit.
Configurações > Geral > Atualização de Software para verificar se você tem o patch.
Uma é a injeção de script entre sites (“dar conteúdo malicioso uma URL confiável”). A outra é a execução remota de código (“executar malware de forma oculta”) pic.twitter.com/905S0aDtCG
— Paul Ducklin (@duckblog) 19 de novembro de 2024
A Apple atribuiu a falha a um problema de gerenciamento de cookies, que foi abordado por meio de um gerenciamento de estado aprimorado.
Como é prática padrão, a Apple reteve a divulgação pública das vulnerabilidades até que investigações completas sejam concluídas e patches implementados.
Esses exploits 0-day—nomeados pela falta de tempo que os desenvolvedores têm para responder antes que a exploração comece—destacam os desafios contínuos da cibersegurança.
Os detalhes permanecem limitados, sem informações confirmadas sobre os atacantes, usuários afetados ou a taxa de sucesso dos ataques.
A Apple foi recentemente alvo.
Pesquisadores de segurança do Google, Clément Lecigne e Benoît Sevens, do Threat Analysis Group, foram creditados por descobrir as vulnerabilidades nos sistemas da Apple.
Este grupo é conhecido por combater ataques cibernéticos apoiados pelo governo, o que levanta suspeitas de que a fonte deste último exploit pode ser um ator estatal, potencialmente hostil ao gigante da tecnologia.
No início deste mês, a Coreia do Norte foi implicada em atacar usuários da Apple, com pesquisadores descobrindo uma nova campanha de malware direcionada a usuários do macOS.
O ataque empregou e-mails de phishing, aplicativos PDF falsos e métodos sofisticados para contornar as medidas de segurança da Apple.
Notavelmente, esta marcou a primeira instância de tal técnica sendo usada para comprometer o macOS, embora não tenha conseguido afetar sistemas atualizados.
Em um incidente relacionado, hackers norte-coreanos também foram encontrados explorando uma vulnerabilidade no Google Chrome em outubro para roubar credenciais de carteiras de criptomoeda.