Компанія Apple випустила екстрені оновлення безпеки для усунення двох нових вразливостей “нульового дня”, що використовувалися в атаках на користувачів iPhone і Mac. Загалом від початку року було виправлено 13 вразливостей “нульового дня”.
“Apple відомо про повідомлення, що ця проблема могла активно експлуатуватися”, – ідеться в рекомендаціях із безпеки, що описують дефекти безпеки.
Помилки були виявлені у фреймворках Image I/O і Wallet і відстежуються як CVE-2023-41064 (виявлена дослідниками Citizen Lab) і CVE-2023-41061 (виявлена Apple).
ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ
Сьогодні компанія Citizen Lab також виявила, що помилки CVE-2023-41064 і CVE-2023-41061 активно використовували у складі ланцюжка експлойтів для iMessage з нульовим кліком під назвою BLASTPASS, який використовували для встановлення найманого шпигунського ПЗ Pegasus компанії NSO Group на повністю пропатчені iPhone (під керуванням iOS (16.6)) через вкладення PassKit, які містять шкідливі зображення.
CVE-2023-41064 – це вразливість переповнення буфера, яка виникає під час обробки шкідливих зображень і може призвести до виконання довільного коду на непропатчених пристроях.
CVE-2023-41061 – це проблема валідації, яка може бути використана за допомогою шкідливого вкладення і також призвести до виконання довільного коду на цільових пристроях.
Apple виправила “нульові дні” в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 і watchOS 9.6.2, покращивши логіку та обробку пам’яті.
Список зачеплених пристроїв досить великий, оскільки дві помилки безпеки зачіпають як старі, так і нові моделі, і включає в себе:
Від початку року компанія Apple виправила 13 помилок нульового дня, які використовували в атаках на пристрої під управлінням iOS, macOS, iPadOS і watchOS.
Два місяці тому, в липні, компанія Apple випустила позасмугові оновлення Rapid Security Response (RSR) для усунення вразливості (CVE-2023-37450), що зачіпає повністю виправлені моделі iPhone, Mac і iPad.
Пізніше компанія підтвердила, що оновлення RSR частково порушують роботу веб-браузерів на виправлених пристроях, і за два дні випустила нові та виправлені версії виправлень.
До сьогоднішнього дня Apple також усунула:
Оновлення 07 вересня, 15:42 EDT: Додано інформацію про розкриття Citizen Lab ланцюжка експлойтів для iMessage з нульовим кліком.
За чутками, доладний телефон Galaxy Z Fold 6 від Samsung матиме кращу систему камер, ніж…
У світі ігор ходять чутки про те, що Microsoft і Sony можуть створити переносні версії…
Перші користувачі, що купили iPad Pro з чіпами M4 та новими OLED-екранами, виявили неприємну деталь…
В останні кілька днів власники iPhone по всьому світу скаржаться на дивний баг в iOS,…
Портал The Information поділився інсайдом щодо виходу абсолютно нової моделі iPhone зі значно більш тонким…
Смартфони пропонують нам сьогодні велику кількість різноманітних функцій. А про деякі можливості більшість користувачів навіть…