cve-2023-41974 - RunkIntel

# CVE-2023-41974 - Apple WebKit Use-After-Free (Execução de Código via Conteúdo Web) > [!high] CVSS: 8.8 (Alto) · Vendor: Apple · CISA KEV: Sim (2023-10-10) · Exploração ativa confirmada via conteúdo web malicioso ## Visão Geral **CVE-2023-41974** é uma vulnerabilidade de **use-after-free** no motor **WebKit** da Apple, o mecanismo de renderização de páginas web utilizado pelo Safari e, obrigatoriamente, por todos os browsers em iOS e iPadOS. A falha permite que o processamento de **conteúdo web maliciosamente construído** resulte em execução de código arbitrário no dispositivo da vítima, tornando uma simples visita a uma página web comprometida ou enviada via phishing suficiente para comprometer o sistema. Uma vulnerabilidade use-after-free ocorre quando um programa continua a utilizar um ponteiro de memória após esse bloco de memória ter sido liberado. No contexto do WebKit, esse tipo de falha pode ser acionado por JavaScript ou por elementos HTML específicamente construídos que levam o motor de renderização a acessar memória liberada, permitindo ao atacante sobrescrever ponteiros de controle ou dados críticos do processo do browser. A inclusão no catálogo **CISA Known Exploited Vulnerabilities (KEV)** em outubro de 2023 confirma que esta vulnerabilidade foi explorada em ataques reais. O histórico do WebKit mostra que vulnerabilidades desta classe são frequentemente instrumentalizadas por fornecedores de spyware comercial — como o **NSO Group** (Pegasus) e o **Intellexa** (Predator) — em cadeias de exploração de múltiplos estágios para comprometimento de jornalistas, ativistas e funcionários governamentais. O Brasil e a América Latina são alvos documentados de campanhas de spyware que exploram falhas WebKit. ## Detalhes Técnicos O bug de use-after-free reside no motor WebKit durante o processamento de objetos JavaScript ou elementos DOM. O ciclo de vida incorreto de um objeto resulta na referência a memória já liberada pelo garbage collector do WebKit. **Fluxo de exploração típico:** 1. Atacante cria uma página web com JavaScript ou HTML especialmente construído 2. Vítima visita a URL (via phishing, malvertising ou redirecionamento) 3. O WebKit processa o conteúdo e acessa o ponteiro use-after-free 4. O atacante controla os dados na memória liberada para desviar o fluxo de execução 5. Execução de shellcode ou payload de segundo estágio no contexto do browser **Característica crítica no iOS/iPadOS:** Diferentemente de outras plataformas, a Apple proíbe motores de browser alternativos no iOS App Store. Isso significa que Chrome, Firefox, Edge e todos os outros browsers no iPhone usam o WebKit internamente — fazendo com que esta vulnerabilidade afete todos os usuários de qualquer browser no iOS, não apenas usuários do Safari. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Apple | Safari | < 17 | 17 | | Apple | iOS | < 17 | 17 | | Apple | iPadOS | < 17 | 17 | | Apple | macOS Sonoma | < 14 | 14 | | Apple | macOS Ventura | < 13.6 | 13.6 | ## Exploração **Status:** Exploração ativa confirmada. A CISA adicionou ao KEV em 2023-10-10, no mesmo lote que outras vulnerabilidades Apple e iOS, consistente com o padrão de spyware comercial que frequentemente explora múltiplas CVEs em cadeia. **Contexto de spyware:** O padrão de exploração de vulnerabilidades WebKit use-after-free é amplamente documentado em relatórios do Citizen Lab, Amnesty International e Google Project Zero como o vetor preferêncial de fornecedores de spyware. A CVE-2023-41974 se enquadra no mesmo modelo de vulnerabilidades exploradas pelo **Pegasus** (NSO Group) e **Predator** (Intellexa), sendo provável que tenha sido parte de uma cadeia de exploração de 1-click ou zero-click. **TTPs associadas:** - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - entrega de payload via página web - [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] - execução via conteúdo web malicioso - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalada posterior ao RCE inicial ## Contexto LATAM > [!latam] Impacto para Brasil e América Latina > O Brasil, o México e a Colômbia figuram em relatórios do Citizen Lab como países onde spyware comercial que explora vulnerabilidades WebKit foi detectado. Jornalistas, advogados, ativistas e funcionários de governo na América Latina são alvos recorrentes de campanhas que utilizam cadeias de exploração iOS zero-click. A **CVE-2023-41974** representa um risco direto para qualquer pessoa com iPhone ou iPad rodando versões antigas do iOS — incluindo o alto número de dispositivos Apple em uso no setor financeiro e governamental brasileiro. Organizações com perfil de alto risco devem garantir que todos os dispositivos Apple foram atualizados para iOS 17 ou superior e considerar a ativação do **Lockdown Mode** para perfis de alto risco (executivos, advogados, jornalistas investigativos). ## Patch e Mitigação **Patch oficial (2023-09-18):** - iOS 17 e iPadOS 17 — corrige CVE-2023-41974 - macOS Sonoma 14 — corrige CVE-2023-41974 - Safari 17 para macOS Ventura e Monterey - iOS 16.7 e iPadOS 16.7 — backport para dispositivos não compatíveis com iOS 17 **Procedimento de atualização:** - iOS/iPadOS: Ajustes > Geral > Atualização de Software - macOS: Menu Apple > Configurações do Sistema > Geral > Atualização de Software - Safari no macOS: App Store > Atualizações **Mitigações para perfis de alto risco:** - Ativar o **Modo de Bloqueio (Lockdown Mode)** — reduz drasticamente a superfície de ataque WebKit - Evitar clicar em links de origens não confiáveis (SMS, e-mail, apps de mensagens) - Monitorar dispositivos de funcionários de alto valor com soluções de MDM ## CISA KEV Adicionada ao catálogo CISA KEV em **2023-10-10**, no mesmo lote que [[cve-2023-42824|CVE-2023-42824]] e outras vulnerabilidades Apple. O prazo de remediação para agências federais americanas foi **2023-10-31**. Para organizações fora do âmbito federal, a adição ao KEV serve como indicador forte de que a vulnerabilidade foi explorada ativamente em ataques reais. ## Notas Relacionadas **CVEs relacionados (Apple WebKit):** [[cve-2025-31277|CVE-2025-31277]] · [[cve-2023-37450|CVE-2023-37450]] **TTPs:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-client-execution|T1203]] · [[t1068-exploitation-privilege-escalation|T1068]] **Setores em risco:** [[government|governo]] · [[financial|financeiro]] · [[mídia]] · [[sociedade-civil]] ## Referências - [NVD - CVE-2023-41974](https://nvd.nist.gov/vuln/detail/CVE-2023-41974) - [Apple Security Advisory HT213938 - iOS 17 / iPadOS 17](https://support.apple.com/en-us/HT213938) - [Apple Security Advisory HT213940 - macOS Sonoma 14](https://support.apple.com/en-us/HT213940) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Citizen Lab - Spyware Targeting LATAM](https://citizenlab.ca/tag/latin-america/) - [Google Project Zero - WebKit Research](https://googleprojectzero.blogspot.com)