Normalmente rivais, Microsoft e Apple se “uniram” dessa vez. A gigante do Vale do Silício alertou sobre uma vulnerabilidade que atinge os sistemas da maçã.
A falha de segurança (chamada de CVE-2025-31199 e apelidada de “SploitLight“) foi arrumada pela Apple em atualização do macOS de 31 de março (saiba mais aqui), mas usuários mais antigos ainda podem estar sob risco.
O que a falha da Apple poderia causar?
- Essa vulnerabilidade era capaz de dar acesso para cibercriminosos a arquivos da pasta Downloads, dados do Safari e dados de cache do Apple Intelligence;
- Entre tais dados, estão: geolocalização, metadados de mídia e informações de reconhecimento facial, diz um relatório da Microsoft Threat Intelligence;
- Dessa forma, bandidos poderiam usar os dados do Apple Intelligence de forma indevida;
- Apps maliciosos também despejavam plugins especialmente criados em diretórios obrigatórios;
- O Spotlight indexaria tais plugins, acionando sua execução sem anuência do usuário;
- Os pesquisadores da Microsoft descobriram o problema após usarem plug-ins do Spotlight para contornar um recurso de segurança criado para impedir que serviços de terceiros obtivessem acesso aos dados do usuário.
Leia mais:
- 10 coisas que seu iPhone faz e você não sabia!
- 5 recursos escondidos do iOS 18 para explorar no seu iPhone
- iOS 26 chega em beta público com interface Liquid Glass; o que muda?
O que a Microsoft disse a respeito
Leia, a seguir, parte do que a Microsoft disse:
“O Microsoft Threat Intelligence descobriu uma vulnerabilidade do macOS que poderia permitir que os invasores roubassem dados privados de arquivos normalmente protegidos por Transparência, Consentimento e Controle (TCC), como arquivos na pasta Downloads, bem como caches utilizados pelo Apple Intelligence.
Embora semelhantes a bypass anteriores do TCC como HM-Surf e powerdir, as implicações dessa vulnerabilidade, às quais nos referimos como ‘Sploitlight’ para seu uso dos plugins do Spotlight, são mais severas devido à sua capacidade de extrair e vazar informações confidenciais armazenadas em cache pelo Apple Intelligence, como dados precisos de geolocalização, metadados de foto e vídeo, dados de reconhecimento facial e pessoas, histórico de pesquisa e preferências do usuário e muito mais.
Esses riscos são ainda mais complicados e aumentados pelo recurso de ligação remota entre as contas do iCloud, o que significa que um invasor com acesso ao dispositivo macOS de um usuário também pode explorar a vulnerabilidade para determinar informações remotas de outros dispositivos vinculados à mesma conta do iCloud.”
Sobre a correção:
“A Apple lançou uma correção para essa vulnerabilidade, agora identificada como CVE-2025-31199, como parte das atualizações de segurança para o macOS Sequoia, lançadas em 31 de março de 2025. Agradecemos à equipe de segurança da Apple pela colaboração em lidar com essa vulnerabilidade e incentivamos os usuários do macOS a aplicar essas atualizações de segurança o mais rápido possível.”
Modo Copilot: Microsoft testa deixar IA fazer coisas para você no Edge
A Microsoft começou a testar o “Modo Copilot” (Copilot Mode) no seu navegador Edge nesta segunda-feira (28). Quando ativado, a inteligência artificial (IA) da big tech pesquisa em abas abertas e executa tarefas. Além disso, a conversa com o Copilot passa a aparecer na página de nova aba.
Leia a matéria completa aqui
O post Microsoft alerta Apple sobre falha de segurança apareceu primeiro em Olhar Digital.
