Microsoft alerta Apple sobre falha de segurança

Normalmente rivais, Microsoft e Apple se “uniram” dessa vez. A gigante do Vale do Silício alertou sobre uma vulnerabilidade que atinge os sistemas da maçã.

A falha de segurança (chamada de CVE-2025-31199 e apelidada de “SploitLight“) foi arrumada pela Apple em atualização do macOS de 31 de março (saiba mais aqui), mas usuários mais antigos ainda podem estar sob risco.

O que a falha da Apple poderia causar?

• Essa vulnerabilidade era capaz de dar acesso para cibercriminosos a arquivos da pasta Downloads, dados do Safari e dados de cache do Apple Intelligence;
• Entre tais dados, estão: geolocalização, metadados de mídia e informações de reconhecimento facial, diz um relatório da Microsoft Threat Intelligence;
• Dessa forma, bandidos poderiam usar os dados do Apple Intelligence de forma indevida;
• Apps maliciosos também despejavam plugins especialmente criados em diretórios obrigatórios;
• O Spotlight indexaria tais plugins, acionando sua execução sem anuência do usuário;
• Os pesquisadores da Microsoft descobriram o problema após usarem plug-ins do Spotlight para contornar um recurso de segurança criado para impedir que serviços de terceiros obtivessem acesso aos dados do usuário.

Leia mais:

• 10 coisas que seu iPhone faz e você não sabia!
• 5 recursos escondidos do iOS 18 para explorar no seu iPhone
• iOS 26 chega em beta público com interface Liquid Glass; o que muda?

O que a Microsoft disse a respeito

Leia, a seguir, parte do que a Microsoft disse:

“O Microsoft Threat Intelligence descobriu uma vulnerabilidade do macOS que poderia permitir que os invasores roubassem dados privados de arquivos normalmente protegidos por Transparência, Consentimento e Controle (TCC), como arquivos na pasta Downloads, bem como caches utilizados pelo Apple Intelligence.

Embora semelhantes a bypass anteriores do TCC como HM-Surf e powerdir, as implicações dessa vulnerabilidade, às quais nos referimos como ‘Sploitlight’ para seu uso dos plugins do Spotlight, são mais severas devido à sua capacidade de extrair e vazar informações confidenciais armazenadas em cache pelo Apple Intelligence, como dados precisos de geolocalização, metadados de foto e vídeo, dados de reconhecimento facial e pessoas, histórico de pesquisa e preferências do usuário e muito mais.

Esses riscos são ainda mais complicados e aumentados pelo recurso de ligação remota entre as contas do iCloud, o que significa que um invasor com acesso ao dispositivo macOS de um usuário também pode explorar a vulnerabilidade para determinar informações remotas de outros dispositivos vinculados à mesma conta do iCloud.”

Sobre a correção:

“A Apple lançou uma correção para essa vulnerabilidade, agora identificada como CVE-2025-31199, como parte das atualizações de segurança para o macOS Sequoia, lançadas em 31 de março de 2025. Agradecemos à equipe de segurança da Apple pela colaboração em lidar com essa vulnerabilidade e incentivamos os usuários do macOS a aplicar essas atualizações de segurança o mais rápido possível.”

Modo Copilot: Microsoft testa deixar IA fazer coisas para você no Edge

A Microsoft começou a testar o “Modo Copilot” (Copilot Mode) no seu navegador Edge nesta segunda-feira (28). Quando ativado, a inteligência artificial (IA) da big tech pesquisa em abas abertas e executa tarefas. Além disso, a conversa com o Copilot passa a aparecer na página de nova aba.

Leia a matéria completa aqui