В четверг компания Apple выпустила обновления безопасности для iOS, iPadOS, macOS, tvOS, watchOS и веб-браузера Safari, чтобы устранить три новых уязвимости нулевого дня, которые, по словам компании, активно эксплуатируются.
Три проблемы безопасности:
- CVE-2023-32409 – Дефект WebKit, который может быть использован злоумышленником для выхода из изолированной программной среды веб-контента. Проблема устранена путём улучшенной проверки границ.
- CVE-2023-28204 – Проблема чтения за пределами границ в WebKit, которой можно было злоупотребить для раскрытия конфиденциальной информации при обработке веб-содержимого. Эта проблема была решена с помощью улучшенной валидации ввода.
- CVE-2023-32373 – Ошибка в WebKit, которая могла привести к выполнению произвольного кода при обработке злонамеренно созданного веб-контента. Она была устранена с помощью улучшенного управления памятью.
Производитель iPhone поблагодарил Клемана Лечинье из группы анализа угроз Google (TAG) и Доннча О Сирбхейла из лаборатории безопасности Amnesty International за сообщение о CVE-2023-32409. Анонимный исследователь получил благодарность (не уточняется в каком виде) за сообщение о двух других проблемах.
Стоит отметить, что оба CVE-2023-28204 и CVE-2023-32373 были исправлены в рамках обновлений Rapid Security Response – iOS 16.4.1 (a) и iPadOS 16.4.1 (a), которые компания выпустила в начале месяца.
В настоящее время нет никакой дополнительной технической информации о дефектах, характере атак или личности злоумышленников, которые могут их использовать.
Тем не менее, такие слабые места исторически использовались как часть целенаправленных вторжений для установки шпионских программ на устройствах диссидентов, журналистов, правозащитников и др.
Последние обновления доступны для следующих устройств:
- iOS 16.5 и iPadOS 16.5 – iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее и iPad mini 5-го поколения и новее
- iOS 15.7.6 и iPadOS 15.7.6 – iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-е поколение), iPad Air 2, iPad mini (4-е поколение) и iPod touch (7-е поколение)
- macOS Ventura 13.4 – macOS Ventura
- tvOS 16.5 – Apple TV 4K (все модели) и Apple TV HD
- watchOS 9.5 – Apple Watch Series 4 и более поздние версии
- Safari 16.5 – macOS Big Sur и macOS Monterey
С начала 2023 года Apple устранила в общей сложности шесть активно эксплуатируемых уязвимостей “нулевого дня”. Ранее в феврале этого года компания устранила уязвимость WebKit (CVE-2023-23529), которая могла привести к удалённому выполнению кода.
Материалы: Thehackernews.com (Ravie Lakshmanan)