Apple corrige Zero-Day no Vision Pro que já pode ter sido explorado por hackers

Um dia após jornalistas publicar suas primeiras impressões hands-on do Vision Pro, a Apple lançou o primeiro patch de segurança para o headset de realidade mista, corrigindo uma vulnerabilidade que "poderia ter sido explorada" por hackers.

Na quarta-feira, a Apple liberou o visionOS 1.0.2, o software que roda no Vision Pro, com uma correção para uma falha no WebKit, o motor de navegação responsável pelo Safari e outros aplicativos web. A Apple disse que o bug, se explorado, permitia que códigos maliciosos rodassem no dispositivo afetado.

É a mesma vulnerabilidade que a Apple já havia corrigido na semana passada com o lançamento do iOS 17.3, que incluía patches para iPhones, iPads, Macs e Apple TVs — todos utilizando o WebKit. Nenhum patch para essa falha, oficialmente identificada como CVE-2024-23222, foi liberado para o Apple Watch.

Não está totalmente claro se hackers exploraram a vulnerabilidade para atacar especificamente o Vision Pro, o porta-voz da Apple, Scott Radcliffe, não quis se pronunciar sobre o assunto quando questionado.

Também não se sabe ainda quem estava explorando a vulnerabilidade, ou por qual motivo.

É comum que ofensores, como desenvolvedores de spywares, se concentrem em fragilidades no WebKit como forma de invadir o sistema operacional do dispositivo e dados pessoais do usuário. Bugs no WebKit podem ser explorados quando a vítima visita um domínio malicioso em seu navegador, ou no navegador interno de um aplicativo.

A Apple lançou diversos patches para bugs do WebKit no ano passado.

Via - Tech Crunch