CVE-2023-37450

CVSS 8.8 HIGHEPSS 18.2%● KEV

Em resumo

Uma falha na forma como dispositivos Apple processam conteúdo web permite que um atacante execute código malicioso apenas visitando um site comprometido. É uma vulnerabilidade grave que a Apple confirma estar sendo explorada ativamente.

Detalhe técnico

Uma vulnerabilidade de corrupção de memória no motor WebKit de processamento de conteúdo web permite execução arbitrária de código com privilégios do processo de renderização. O vetor de ataque é remoto e requer apenas interação do usuário (visitar uma página maliciosa); sem necessidade de acesso especial ou autenticação. Exploração ativa confirmada pela Apple.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The issue was addressed with improved checks. This issue is fixed in iOS 16.6 and iPadOS 16.6, Safari 16.5.2, tvOS 16.6, macOS Ventura 13.5, watchOS 9.6. Processing web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Produtos afetados

Apple · iOS and iPadOS Apple · macOS Apple · Safari Apple · tvOS Apple · watchOS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://security.gentoo.org/glsa/202401-04 https://support.apple.com/en-us/HT213826 https://support.apple.com/en-us/HT213841 https://support.apple.com/en-us/HT213843 https://support.apple.com/en-us/HT213846 https://support.apple.com/en-us/HT213848 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-37450