# CVE-2025-31277 - Apple WebKit Buffer Overflow (Corrupção de Memória via Conteúdo Web) > CVSS: 8.8 (Alto) · EPSS: ~55% · Vendor: Apple · Patch: Sim · CISA KEV: Sim (2026-03-20) ## Resumo **CVE-2025-31277** é uma vulnerabilidade de **buffer overflow** no motor WebKit da Apple que afeta Safari, iOS, iPadOS, macOS, watchOS, visionOS e tvOS. O processamento de **conteúdo web maliciosamente construído** pode levar a **corrupção de memória** e potencial execução de código. A falha reside no processamento de conteúdo web pelo WebKit - o motor de browser utilizado pelo Safari e por todos os browsers iOS/iPadOS (já que a Apple obriga todos os browsers na App Store a usar o WebKit). O processamento de uma página web especialmente construída pode acionar o buffer overflow, corrompendo memória do processo do browser. **Pontuação de risco:** - CVSS v3.1: **8.8** (Alto) - EPSS: **~55%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: **adicionado em 2026-03-20** - prazo de remediação: **2026-04-03** - Exploit: **exploração ativa confirmada** ## Impacto Técnico Esta CVE atua como o **vetor de acesso inicial** na cadeia de exploração Apple identificada no batch KEV de 2026-03-20: **Cadeia de exploração:** 1. **CVE-2025-31277 (este CVE)** - entrega de payload malicioso via página web, sem interação do usuário além de visitar a URL 2. [[cve-2025-43510|CVE-2025-43510]] - escalada de privilégios via manipulação de memória compartilhada entre processos 3. [[cve-2025-43520|CVE-2025-43520]] - controle total via escrita em memória do kernel **Característica crítica do WebKit no iOS:** Diferentemente do macOS ou Windows, onde usuários podem usar browsers com motores diferentes (Blink, Gecko), **todos os browsers iOS são obrigados a usar WebKit**. Isso significa que uma vulnerabilidade WebKit afeta Chrome, Firefox, Edge e todos os outros browsers no iPhone - não apenas o Safari. **Impacto para organizações LATAM/Brasil:** O [[financial|setor financeiro]] brasileiro e [[government|governo]] utilizam amplamente iPhones em operações críticas. A capacidade de comprometer um dispositivo via simples visita a uma página web - um cenário alcançável via phishing, anúncios maliciosos (malvertising) ou MitM - torna esta CVE altamente relevante para ataques dirigidos. Combinada com [[cve-2025-43520|CVE-2025-43520]], permite comprometimento completo de dispositivos iOS sem interação do usuário além do clique. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Apple | Safari | < 18.6 | 18.6 | | Apple | iOS | < 18.6 | 18.6 | | Apple | iPadOS | < 18.6 | 18.6 | | Apple | macOS Sequoia | < 15.6 | 15.6 | | Apple | watchOS | < 11.6 | 11.6 | | Apple | visionOS | < 2.6 | 2.6 | **Nota:** Dispositivos rodando iOS/iPadOS 26.x e macOS Tahoe/Sonoma podem ter versões de patch distintas; verificar advisory oficial da Apple para versões de branch mais novas. ## Patch e Mitigação **Patch oficial:** - Atualizar todos os dispositivos Apple para as versões corrigidas - iOS/iPadOS: Ajustes > Geral > Atualização de Software - macOS: Menu Apple > Preferências do Sistema > Atualização de Software - Safari no macOS: atualização via App Store ou Software Update - Não há workarounds disponíveis para uso contínuo do WebKit **Mitigações temporárias:** - Para alvos de alto risco: considerar temporariamente desabilitar o carregamento de JavaScript em Safari - Utilizar o modo de bloqueio (Lockdown Mode) do iOS para proteção máxima contra ataques sofisticados - Educação de usuários sobre não clicar em links não confiáveis - Monitorar logs de proxy/DNS para tentativas de acesso a domínios recém-registrados ou suspeitos ## Exploração Ativa **Status atual:** ✅ **Exploração ativa confirmada** - vetor de acesso inicial em cadeia de exploração iOS completa **Contexto analítico:** Conforme análise do TheCyberThrone (2026-03-21) e análise do iOS 26.2 release notes da Apple, vulnerabilidades WebKit são consistentemente exploradas por **spyware governamental de alto nível**. A combinação CVE-2025-31277 + [[cve-2025-43510|CVE-2025-43510]] + [[cve-2025-43520|CVE-2025-43520]] representa uma cadeia completa que permite: - Acesso inicial via browser (zero-click ou one-click) - Escalada para kernel - Implantação de spyware persistente Este padrão é idêntico ao observado em campanhas do Pegasus (NSO Group) e similares. ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-20**. - **Prazo de remediação para agências federais EUA:** **2026-04-03** - **Recomendação para o setor privado:** atualizar imediatamente todos os dispositivos Apple; considerar ativação do Lockdown Mode para funcionários de alto risco (executivos, TI, jurídico) - **Referência:** [CISA KEV - CVE-2025-31277](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Contexto LATAM > [!latam] Impacto para Brasil e América Latina > O Brasil tem uma das maiores bases de usuários de iPhone na América Latina, com penetração significativa no setor financeiro, governo e entre jornalistas e ativistas. O padrão de exploração desta vulnerabilidade — parte de uma cadeia completa de comprometimento iOS zero-click/one-click — é consistente com ferramentas de spyware comercial como **Pegasus** (NSO Group) e **Predator** (Intellexa), ambas documentadas em uso contra alvos na América Latina. Relatórios do Citizen Lab identificaram uso de spyware iOS contra jornalistas e figuras políticas no **México**, **El Salvador** e **Brasil**. Organizações com funcionários de perfil de alto risco (executivos, advogados, jornalistas investigativos) devem garantir atualização imediata de todos os dispositivos Apple e considerar ativar o **Lockdown Mode** para os perfis mais expostos. ## Notas Relacionadas **CVEs relacionados:** [[cve-2025-43510|CVE-2025-43510]] · [[cve-2025-43520|CVE-2025-43520]] **TTPs relacionadas:** [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] · [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] **Setores em risco:** [[government|governo]] · [[financial|financeiro]] · [[mídia]] · [[sociedade-civil]] ## Referências - [NVD - CVE-2025-31277](https://nvd.nist.gov/vuln/detail/CVE-2025-31277) - [Apple Security Advisory - Safari 18.6 / iOS 18.6 / macOS 15.6](https://support.apple.com/en-us/HT213938) - [CISA KEV Catalog - CVE-2025-31277](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [TheCyberThrone - Apple iOS 26.2 Release Analysis](https://thecyberthrone.in) - [Citizen Lab - Spyware in Latin América](https://citizenlab.ca/tag/latin-america/) - [Google Project Zero - WebKit Research](https://googleprojectzero.blogspot.com)