# CVE-2021-30983 > [!critical] Zero-Day iOS - Buffer Overflow no IOMobileFrameBuffer - CISA KEV > CVE-2021-30983 é um zero-day de buffer overflow no componente IOMobileFrameBuffer do iOS/iPadOS explorado ativamente antes da correção, associado ao spyware Hermit da RCS Lab e presente na CISA KEV como vulnerabilidade explorada em ataques reais. ## Visão Geral CVE-2021-30983 é uma vulnerabilidade de buffer overflow no componente `IOMobileFrameBuffer` — o driver que controla o framebuffer de exibição no iOS e iPadOS. A falha permite que uma aplicação maliciosa execute código com privilégios do kernel, resultando em comprometimento total do dispositivo. Como vulnerabilidade zero-day, estava sendo explorada ativamente antes que a Apple lançasse o patch em dezembro de 2021. O `IOMobileFrameBuffer` foi alvo de múltiplas vulnerabilidades zero-day em 2021 (incluindo CVE-2021-30807 e CVE-2021-30983), indicando foco especial de pesquisadores de segurança ofensiva e fornecedores de spyware comercial neste componente. CVE-2021-30983 está associada ao spyware [[s1061-hermit|Hermit]] da empresa italiana RCS Lab, utilizado por governos para vigilância de alvos específicos. A inclusão na CISA KEV em janeiro de 2022 confirma exploração documentada em ataques contra organizações e indivíduos. O padrão de exploração — zero-day iOS em componente de kernel, com exploit furtivo sem rastros visíveis ao usuário — é característico de operações de spyware comercial de alto custo, tipicamente usadas em espionagem estatal e corporativa de alto valor. > [!latam] Relevância para o Brasil > Ferramentas de spyware comercial como Hermit têm sido documentadas em uso por agências governamentais em múltiplos países, incluindo na América Latina. Perfis de alto risco no Brasil - jornalistas, defensores de direitos humanos, advogados e executivos C-suite - são alvos potenciais. Manter iOS atualizado é a principal defesa contra esta classe de ameaça. ## Detecção e Defesa - Atualizar para iOS 15.2 imediatamente — [[m1051-update-software|M1051 Update Software]] - Ativar Lockdown Mode para perfis de alto risco — [[m1048-application-isolation-and-sandboxing|M1048]] - Executar Mobile Verification Toolkit (MVT) para detectar indicadores de comprometimento — [[t1422-system-information-discovery|T1422]] - Monitorar tráfego de rede do dispositivo iOS para identificar comunicação C2 — [[t1071-application-layer-protocol|T1071]] - Evitar instalação de perfis de configuração de fontes não confiáveis — [[m1045-code-signing|M1045]] ## Referências - [Apple Security Advisory iOS 15.2](https://support.apple.com/en-us/111900) - [CISA KEV - CVE-2021-30983](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Lookout - Hermit Spyware Analysis](https://www.lookout.com/blog/hermit-spyware-discovery) - [NVD - CVE-2021-30983](https://nvd.nist.gov/vuln/detail/CVE-2021-30983)