Ontem à tarde, horário da Espanha, a empresa sediada em Cupertino lançou o iOS 12.1.4, a tão esperada atualização que resolveu o Problema de segurança do FaceTime encontrado no iOS e isso permitia ao remetente de uma chamada, pegar automaticamente ao adicionar uma terceira pessoa a ele, de modo que Os servidores da Apple estão mais uma vez permitindo chamadas em grupo.
Em si, apenas entre dispositivos gerenciados pelo iOS 12.1.4. Se o seu dispositivo não for gerenciado por essa versão, as chamadas em grupo pelo FaceTime não estarão disponíveis a menos que você atualize. Mas parece que esta última atualização, não só corrige o problema das chamadas, mas também, de acordo com um engenheiro de segurança do Google, corrige duas vulnerabilidades de 0 dia.
Vulnerabilidades de dia zero (dia zero) são aquelas que estão presentes em aplicativos ou sistemas operacionais, uma vez que estão disponíveis ao público sem que o desenvolvedor tenha conhecimento disso, portanto, eles sempre estiveram disponíveis para serem explorados, por isso são chamados de dia 0 (dia zero).
Se você tiver alguma dúvida sobre se deseja ou não atualizar para o iOS 12.1.4, a presença dessas duas vulnerabilidades é mais uma prova de que é sempre aconselhável atualizar nosso sistema operacional para a versão mais recente disponível, tanto do sistema operacional que usamos quanto dos aplicativos.
Ben Hawker, o engenheiro de segurança do Google que relatou essas duas vulnerabilidades, identificadas como CVE-2019-7286 e CVE-2019-7287, afirma que o primeiro permite que um terceiro use a corrupção de memória para obter privilégios elevados.
O segundo, permite que um invasor executar código arbitrário com privilégios de kernel, devido ao problema de corrupção de memória acima. Obviamente, nenhum detalhe adicional foi fornecido devido à importância deste tipo de vulnerabilidade e muitos dispositivos ainda não foram atualizados.
Esses problemas de segurança foram detectados pelo Google por meio da plataforma Project Zero, plataforma que é responsável por detectar falhas de segurança em aplicativos e sistemas operacionais e informar previamente os afetados, dando-lhes um prazo de 90 dias para resolver o problema antes de torná-lo público.