Apple выпустила срочные патчи для трех 0-day уязвимостей – Люди PRO Media

Apple выпустила срочные патчи для трех 0-day уязвимостей

Компания Apple выпустила экстренные патчи для исправления трех новых уязвимостей нулевого дня, которые уже использовались в атаках на пользователей iPhone и Mac. Таким образом, в 2023 году в продуктах Apple была устранено уже 16 0-day уязвимостей.

Сообщается, что все проблемы обнаружены экспертами из Citizen Lab и Google Threat Analysis Group. Одна проблема была найдена в браузерном движке WebKit (CVE-2023-41993), а другая в составе Security Framework (CVE-2023-41991), что позволяло злоумышленникам обходить проверку подписи с помощью вредоносных приложений, а также выполнять произвольный код через специально подготовленные вредоносные веб-страницы.

Третья уязвимость (CVE-2023-41992) найдена в коде Kernel Framework, который предоставляет API, а также поддержку расширений ядра и kernel-resident драйверов устройств. Локальные злоумышленники могли использовать этот баг для повышения привилегий.

Apple исправила перечисленные ошибки в macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 и watchOS 9.6.3/10.0.1, и предупредила, что уязвимости могли подвергаться активной эксплуатации в iOS старше версии 16.7.

Уязвимости представляли угрозу для следующих устройств:

  • iPhone 8 и новее;
  • iPad mini 5-го поколения и новее;
  • Mac под управлением macOS Monterey и новее;
  • Apple Watch Series 4 и новее.

Хотя пока компания Apple не публикует никакой дополнительной информации об эксплуатации этих уязвимостей, аналитики Citizen Lab и Google Threat Analysis Group часто сообщают о 0-day багах, которые используются шпионским ПО в таргетированных атаках, направленных на журналистов, оппозиционеров и диссидентов в разных странах мира.

К примеру, ранее в этом месяце исследователи Citizen Lab предупреждали, что другие 0-day уязвимости в продуктах Apple являлись частью цепочки zero-click эксплоитов для iMessage, которая получила название BLASTPASS. Известно, что эти эксплоиты применялись для развертывания шпионского ПО Pegasus на полностью пропатченных iPhone.

Источник: xaker.ru

Свежий выпуск «Люди PRO»

Свежий выпуск «МУЛЬТИЧЕЛА»

Свежий выпуск «МУЛЬТИЧЕЛ +»

Читайте также