A Apple moveu a ficha para proteger modelos mais antigos de iPhone e iPad após a detecção de um kit de exploração que aproveitava falhas no motor de navegação WebKit. A empresa reintroduziu correcções já presentes em versões recentes do sistema operacional e as disponibilizou em atualizações para dispositivos que não podem instalar a última versão do iOS.
A falha principal ligada a esta ronda de sistemas aparece na base de dados de vulnerabilidades como CVE-2023-43010, descreve-se como uma fraqueza no WebKit que poderia causar corrupção de memória ao processar conteúdo web manipulado para fins maliciosos. Segundo a Apple, a solução passa por um melhor manejo interno do motor que evita que páginas ou scripts especialmente projetados desencadeem esse comportamento indesejado.
Inicialmente, a correção para este problema foi publicada em versões relativamente novas – incluindo iOS 17.2, iPadOS 17.2 e macOS Sonoma 14.2 – e agora tem sido “retroportada” a ramos anteriores do sistema para alcançar terminais que já não podem ser atualizados às edições mais recentes. A Apple detalha estes adesivos em suas páginas de suporte oficiais, por exemplo nas notas de iOS 17.2 e iPadOS 17.2, macOS Sonoma 14.2 e Safari 17.2, bem como nos avisos específicos para as versões mais antigas iOS 15.8.7 e iPadOS 15.8.7 e iOS 16.7.15 e iPadOS 16.7.15.
A atualização que afeta o iOS 15.8.7 e iPadOS 15.8.7 não se limita a CVE-2023-43010: inclui adesivos para várias vulnerabilidades adicionais que estavam sendo exploradas dentro do mesmo marco de ataque. Entre elas figuram CVE-2023-43000, descrita como um “use-after-free” no WebKit; CVE-2023-41974, um problema de use-after-free no kernel com potencial para execução de código com privilégios de núcleo; e CVE-2024-23222, uma vulnerabilidade de tipo confusão no WebKit que poderia permitir a execução arbitrária de código ao processar conteúdo web malicioso. Em termos práticos, estas falhas permitem a um atacante, se conseguir explorá-los, executar código no dispositivo ou escalar privilégios, tornando-os vetores muito sérios de compromisso.
Tudo isto está ligado a um conjunto de exploits conhecido como “Coruna”, que pesquisadores de segurança e equipamentos de resposta têm associado a um kit que reúne múltiplas cadeias de ataque. Os relatórios técnicos — que descreveram mais de vinte exploits agrupados em várias cadeias — mostram que o kit estava orientado para versões do iOS desde 13.0 até 17.2.1. Grupos que monitoram malware e exploits, como iVerify, documentaram o uso de Coruna em campanhas que entregam um marco de ataque maior (às vezes referido como CryptoWaters), e os achados foram analisados publicamente por diversos laboratórios.
Em paralelo, surgiram afirmações jornalísticas sobre a possível origem de algumas partes do código. Segundo essas informações, ferramentas e exploits empregados por Coruna poderiam ter sido desenvolvidos por atores vinculados ao setor da defesa e, posteriormente, filtrados ou vendidos a intermediários. Entre os nomes citados na cobertura, foi mencionado um exdirectivo de uma empresa contratista que foi condenado por transações com vulnerabilidades; no entanto, as atribuições neste domínio são geralmente complexas e é habitual que os pesquisadores peçam cautela antes de traçar conclusões definitivas.
Outra consequência destacada do caso é a reutilização de vulnerabilidades: Coruna incorpora exploits que apontam para falhas já observadas em campanhas prévias, como algumas que se agruparam sob a etiqueta “Operation Triangulation” no ano anterior. Especialistas em segurança sublinharam que a coincidência nas vulnerabilidades exploradas não implica necessariamente que o código tenha sido copiado. Uma equipe com suficiente pericia pode desenvolver exploits diferentes que apontem à mesma fraqueza, e por isso a atribuição exige evidências técnicas e contextuales mais amplas que a simples reutilização de falhas.
Diante deste panorama, a mensagem principal para usuários e responsáveis por TI é simples: atualizar o software quando possível e aplicar os adesivos que a Apple publicou para as versões suportadas. Mesmo quando um dispositivo não pode receber a última iteração do sistema, as atualizações retrocompatíveis que a Apple libertou oferecem uma camada de defesa crítica contra este tipo de ameaças. Além disso, é conveniente manter hábitos de navegação prudentes, evitar abrir ligações ou arquivos de origem duvidosas e rever as configurações de segurança do navegador e do sistema.
A proliferação de kits como Coruna lembra que a segurança dos dispositivos móveis já não é apenas uma questão de adesivos: é um ecossistema onde atores com diferentes incentivos competem por exploits, onde os achados técnicos podem viajar entre mercados e onde a transparência na pesquisa e a rapidez na mitigação marcam a diferença entre um incidente controlado e uma lacuna massiva. Para quem quiser aprofundar os detalhes técnicos dos erros corrigidos, as notas da Apple e as bases de dados públicas de vulnerabilidades são um bom ponto de partida e estão disponíveis nas páginas de suporte e na NVD associadas neste artigo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...