A Apple emitiu um conjunto de atualizações de segurança críticas para fazer face a uma vulnerabilidade de alta gravidade, identificada como CVE-2025-6558, que já está a ser ativamente explorada em ataques direcionados a utilizadores. A recomendação é clara: atualize os seus dispositivos o mais rapidamente possível.
A falha foi descoberta no Google Chrome, mas devido à sua natureza, afeta um vasto leque de software, incluindo os sistemas operativos da Apple.
O que é esta falha e porque é tão perigosa?
A vulnerabilidade reside no ANGLE (Almost Native Graphics Layer Engine), um motor gráfico de código aberto que serve como uma camada de abstração, traduzindo comandos gráficos OpenGL ES para que funcionem em tecnologias como a Metal da Apple, Direct3D, Vulkan e OpenGL. O problema específico é uma validação incorreta de dados não fidedignos.
Na prática, isto permite que atacantes remotos, através de páginas web maliciosamente criadas, executem código arbitrário diretamente no processo da GPU (unidade de processamento gráfico) do navegador. O maior risco é que, a partir daí, consigam escapar ao ambiente de segurança (sandbox) que isola os processos do navegador do resto do sistema operativo, abrindo a porta a ataques mais complexos.
Descoberta e contexto dos ataques
A falha foi descoberta em junho por Vlad Stolyarov e Clément Lecigne, membros do Threat Analysis Group (TAG) da Google, uma equipa de elite focada na defesa contra ataques patrocinados por estados. A Google corrigiu a vulnerabilidade no Chrome a 15 de julho, confirmando que esta já estava a ser explorada ativamente.
Embora a Google não tenha partilhado detalhes sobre os ataques, as descobertas do grupo TAG estão frequentemente associadas a campanhas de espionagem que visam instalar spyware em dispositivos de indivíduos de alto risco, como jornalistas, ativistas e políticos da oposição.
A urgência da correção foi sublinhada quando, a 22 de julho, a CISA (Agência de Cibersegurança e Segurança de Infraestruturas dos EUA) adicionou a vulnerabilidade ao seu catálogo de falhas exploradas, exigindo que as agências federais americanas aplicassem a correção até 12 de agosto. A CISA alerta que "estes tipos de vulnerabilidades são vetores de ataque frequentes para atores maliciosos e representam riscos significativos".
Os seus dispositivos Apple estão na lista? Veja o que precisa de atualizar
A Apple confirmou que o problema afeta o seu software, explicando que "o processamento de conteúdo web maliciosamente criado pode levar a um encerramento inesperado do Safari". As atualizações foram lançadas para uma vasta gama de produtos:
iOS 18.6 e iPadOS 18.6: iPhone XS e posteriores, iPad Pro de 13 polegadas, iPad Pro de 12.9 polegadas (3ª geração e posteriores), iPad Pro de 11 polegadas (1ª geração e posteriores), iPad Air (3ª geração e posteriores), iPad (7ª geração e posteriores) e iPad mini (5ª geração e posteriores).
macOS Sequoia 15.6: Macs a correr o macOS Sequoia.
iPadOS 17.7.9: iPad Pro de 12.9 polegadas (2ª geração), iPad Pro de 10.5 polegadas e iPad (6ª geração).
tvOS 18.6: Apple TV HD e Apple TV 4K (todos os modelos).
visionOS 2.6: Apple Vision Pro.
watchOS 11.6: Apple Watch Series 6 e posteriores.
Apple reforça segurança após um ano com várias falhas "zero-day"
Esta não é a primeira vez que a Apple se vê forçada a lançar correções urgentes este ano. Desde o início de 2025, a empresa já corrigiu outras cinco vulnerabilidades "zero-day" (falhas exploradas antes de existir uma correção oficial). Estas incluíram uma em janeiro (CVE-2025-24085), uma em fevereiro (CVE-2025-24200), uma terceira em março (CVE-2025-24201) e mais duas em abril (CVE-2025-31200 e CVE-2025-31201).
Dada a gravidade da situação atual, é imperativo que todos os utilizadores verifiquem as atualizações de software nos seus dispositivos Apple e as instalem sem demora para se protegerem contra potenciais ataques.
Nenhum comentário
Seja o primeiro!