cve-2021-30952 - RunkIntel

# CVE-2021-30952 - Integer Overflow no Apple WebKit > [!high] CVSS: 7.8 (Alto) · Vendor: Apple · CISA KEV: Sim (2021-11-03) · Exploração ativa confirmada · Afeta Safari, iOS, iPadOS, macOS ## Visão Geral CVE-2021-30952 é uma vulnerabilidade de estouro de inteiro (integer overflow) no motor de renderização web **WebKit** da Apple, que afeta o Safari e todos os navegadores web em iOS e iPadOS - que obrigatoriamente usam WebKit como motor de renderização por política da App Store. A falha pode ser explorada quando um usuário visita uma página web maliciosa ou processa conteúdo web especialmente crafted, podendo resultar na execução de código arbitrário no dispositivo da vítima. O vetor de rede (AV:N) torna esta vulnerabilidade especialmente perigosa: não requer acesso físico ou instalação de aplicativo, bastando induzir a vítima a clicar em um link malicioso. A Apple relatou que tinha conhecimento de que a vulnerabilidade pode ter sido explorada em estado selvagem (in the wild), confirmação que levou a CISA a adicionar a CVE ao catálogo Known Exploited Vulnerabilities em novembro de 2021. Esta classe de vulnerabilidade em WebKit é amplamente explorada por desenvolvedores de exploits avançados, incluindo grupos de spyware comercial que visam periodicamente alvos de alto valor como jornalistas, ativistas e funcionários governamentais. CVEs no WebKit frequentemente fazem parte de cadeias de exploração que combinam escapes de sandbox com escalada de privilégios para comprometimento completo do dispositivo. A vulnerabilidade foi corrigida na atualização de segurança de iOS 15.2, iPadOS 15.2, macOS Monterey 12.1 e watchOS 8.3 lançada em 13 de dezembro de 2021. Para sistemas desatualizados, o risco permanece significativo, especialmente para dispositivos mais antigos que não podem ser atualizados para versões mais recentes do sistema operacional. > [!latam] Impacto no Brasil e LATAM > O Brasil é um dos maiores mercados de dispositivos Apple do mundo, com ampla adoção de iPhone e iPad tanto em ambientes corporativos quanto pessoais. Vulnerabilidades no WebKit são especialmente relevantes para a região porque afetam todos os navegadores no iOS - não apenas o Safari, mas Chrome, Firefox e qualquer outro app que use WKWebView. A América Latina tem histórico de uso de spyware comercial baseado em exploits WebKit contra figuras políticas e jornalistas: o México, em particular, foi um dos maiores usuários do Pegasus (NSO Group) documentados. Organizações que atuam em áreas sensíveis no Brasil devem priorizar atualizações de dispositivos Apple. ## Produtos Afetados | Produto | Versões Afetadas | Versão Corrigida | |---------|-----------------|-----------------| | Safari | < 15.2 | 15.2 | | iOS | < 15.2 | 15.2 (iPhone 6s e superiores) | | iPadOS | < 15.2 | 15.2 | | macOS Monterey | < 12.1 | 12.1 | | watchOS | < 8.3 | 8.3 | ## Descrição Técnica Um **integer overflow** ocorre quando uma operação aritmética produz um resultado que excede a capacidade máxima do tipo de dado inteiro utilizado, causando wrap-around para um valor inesperado. No contexto do WebKit, este tipo de falha ocorre durante o processamento de conteúdo web - HTML, JavaScript, CSS ou dados multimídia - onde valores controlados pelo atacante são utilizados em operações aritméticas que determinam tamanhos de buffer ou índices de memória. **Fluxo de exploração típico:** 1. O atacante prepara uma página web maliciosa ou injeta conteúdo em uma página legítima 2. Ao renderizar o conteúdo, o WebKit processa um valor que causa o overflow 3. O overflow corrompe estruturas de memória adjacentes 4. O atacante utiliza a corrupção para obter execução de código no contexto do processo WebKit 5. Em cadeias de exploração completas, isso é seguido por escape de sandbox para comprometimento total **Por que WebKit é alvo constante:** - Presente em TODOS os navegadores iOS/iPadOS por obrigação da App Store - Motor de renderização maduro e complexo com grande superfície de ataque - Comprometimento do WebKit é o primeiro estágio padrão em cadeias de jailbreak e spyware ## Mitigação 1. **Atualizar imediatamente** para iOS 15.2+, iPadOS 15.2+, macOS Monterey 12.1+ e watchOS 8.3+ 2. **Ativar atualizações automáticas** em Configurações > Geral > Atualização de Software 3. Para **perfis de alto risco**: ativar Lockdown Mode (bloqueia funcionalidades avançadas do WebKit) 4. Evitar clicar em links suspeitos recebidos via mensagem ou e-mail 5. Verificar versão atual em Configurações > Geral > Sobre ## Referências - [Apple Security Advisory APPLE-SA-2021-12-13](https://support.apple.com/kb/HT213032) - [NVD - CVE-2021-30952](https://nvd.nist.gov/vuln/detail/CVE-2021-30952) - [CISA KEV - Adição 2021-11-03](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Project Zero - WebKit Research](https://googleprojectzero.blogspot.com) ## Notas Relacionadas **TTPs relacionadas:** [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] · [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] **Setores em risco:** [[government]] · [[technology]] · Mídia e ativismo **CVEs relacionadas:** Família de exploits WebKit inclui CVE-2021-30860, CVE-2021-30869 e diversas outras falhas similares exploradas em campanhas de spyware