# CVE-2023-41993 > [!high] Zero-day no WebKit explorado pelo spyware Predator - execução de código via navegação web > Vulnerabilidade zero-day no motor WebKit da Apple permite execução de código arbitrário ao processar conteúdo web malicioso. Explorada ativamente em cadeia com outras CVEs pelo spyware comercial **Predator** do Intellexa Consortium. ## Visão Geral A [[cve-2023-41993|CVE-2023-41993]] é uma vulnerabilidade zero-day no WebKit, o motor de renderização web utilizado pelo Safari, iOS e outros navegadores Apple. A falha permite que conteúdo web malicioso execute código arbitrário no dispositivo da vítima apenas com a navegação para uma página comprometida - sem necessidade de interação adicional. A Apple confirmou exploração ativa desta falha, e pesquisadores do Citizen Lab e Google TAG a documentaram como componente de cadeias de exploit utilizadas pelo spyware [[predator|Predator]] (Intellexa Consortium) para comprometer iPhones e dispositivos iOS de jornalistas, ativistas e funcionários governamentais. Para organizações brasileiras e latinoamericanas, o contexto é diretamente relevante: o spyware Predator foi identificado operando em múltiplos países da região, com clientes governamentais suspeitos na América Latina. Qualquer dispositivo iOS sem o patch de setembro de 2023 permanece vulnerável a este vetor de infecção via link. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 8.8 (High) | | **Componente** | WebKit (motor de renderização) | | **Gatilho** | Processar conteúdo web especialmente formatado | | **Plataformas** | iOS < 17.0, Safari < 17, macOS < Sonoma 14 | | **Patch** | iOS 17 / Safari 17 (21 set 2023) | ## Cadeia de Exploit - Predator O spyware Predator utilizou CVE-2023-41993 como ponto de entrada: 1. Entrega via link malicioso (SMS, WhatsApp, email) 2. Vítima abre link no Safari (sem clique adicional necessário) 3. CVE-2023-41993 executa código via WebKit 4. Cadeia de exploits subsequentes para escape de sandbox 5. [[cve-2023-41991|CVE-2023-41991]] + [[cve-2023-41992|CVE-2023-41992]] completam a instalação **TTPs relacionados:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-for-client-execution|T1203]] · [[t1437-application-layer-protocol|T1437]] · [[t1512-video-capture|T1512]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar para iOS 17, Safari 17 ou macOS Sonoma 14 - Habilitar Lockdown Mode em dispositivos de alto risco (jornalistas, executivos, funcionários governamentais) - Não clicar em links recebidos por canais não confiáveis **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1011-mobile-device-management|M1011]] · [[m1021-restrict-web-based-content|M1021]] > [!latam] Relevância LATAM > O spyware **Predator** teve operações documentadas em países latinoamericanos, incluindo uso por governos para vigilância de dissidentes e jornalistas. Dispositivos iOS desatualizados em mãos de jornalistas investigativos, ativistas de direitos humanos e funcionários governamentais representam risco real de comprometimento. ## Referências - [Apple Security Advisory APPLE-SA-2023-09-21-1](https://support.apple.com/en-us/103829) - [Citizen Lab - Predator Analysis](https://citizenlab.ca/2023/09/predator-in-the-wires-ahmed-eltantawy-targeted-with-predator-spyware-using-zero-days/) - [Google TAG Coverage](https://blog.google/threat-analysis-group/how-were-fighting-spyware/)