Apple розкрила 2 нові вразливості нульового дня, які використовуються для атак на iPhone і Mac

Компанія Apple випустила екстрені оновлення безпеки для усунення двох нових вразливостей “нульового дня”, що використовувалися в атаках на користувачів iPhone і Mac. Загалом від початку року було виправлено 13 вразливостей “нульового дня”.

“Apple відомо про повідомлення, що ця проблема могла активно експлуатуватися”, – ідеться в рекомендаціях із безпеки, що описують дефекти безпеки.

Помилки були виявлені у фреймворках Image I/O і Wallet і відстежуються як CVE-2023-41064 (виявлена дослідниками Citizen Lab) і CVE-2023-41061 (виявлена Apple).

Сьогодні компанія Citizen Lab також виявила, що помилки CVE-2023-41064 і CVE-2023-41061 активно використовували у складі ланцюжка експлойтів для iMessage з нульовим кліком під назвою BLASTPASS, який використовували для встановлення найманого шпигунського ПЗ Pegasus компанії NSO Group на повністю пропатчені iPhone (під керуванням iOS (16.6)) через вкладення PassKit, які містять шкідливі зображення.

CVE-2023-41064 – це вразливість переповнення буфера, яка виникає під час обробки шкідливих зображень і може призвести до виконання довільного коду на непропатчених пристроях.

CVE-2023-41061 – це проблема валідації, яка може бути використана за допомогою шкідливого вкладення і також призвести до виконання довільного коду на цільових пристроях.

Apple виправила “нульові дні” в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 і watchOS 9.6.2, покращивши логіку та обробку пам’яті.

Список зачеплених пристроїв досить великий, оскільки дві помилки безпеки зачіпають як старі, так і нові моделі, і включає в себе:

• iPhone 8 і пізніші версії
• iPad Pro (всі моделі), iPad Air 3-го покоління і новіше, iPad 5-го покоління і новіше, iPad mini 5-го покоління і новіше
• комп’ютери Mac під управлінням macOS Ventura
• Apple Watch Series 4 і пізніші моделі

13 експлуатованих “нульових днів”, виправлених цього року

Від початку року компанія Apple виправила 13 помилок нульового дня, які використовували в атаках на пристрої під управлінням iOS, macOS, iPadOS і watchOS.

Два місяці тому, в липні, компанія Apple випустила позасмугові оновлення Rapid Security Response (RSR) для усунення вразливості (CVE-2023-37450), що зачіпає повністю виправлені моделі iPhone, Mac і iPad.

Пізніше компанія підтвердила, що оновлення RSR частково порушують роботу веб-браузерів на виправлених пристроях, і за два дні випустила нові та виправлені версії виправлень.

До сьогоднішнього дня Apple також усунула:

• дві “нульові дірки” (CVE-2023-37450 і CVE-2023-38606) у липні
• три нульові помилки (CVE-2023-32434, CVE-2023-32435 і CVE-2023-32439) у червні
• ще три нульові дні (CVE-2023-32409, CVE-2023-28204 і CVE-2023-32373) у травні
• два “нульові дні” (CVE-2023-28206 і CVE-2023-28205) у квітні
• і ще один “нульовий день” для WebKit (CVE-2023-23529) у лютому.

Оновлення 07 вересня, 15:42 EDT: Додано інформацію про розкриття Citizen Lab ланцюжка експлойтів для iMessage з нульовим кліком.