В бюллетени по безопасности компания Apple сообщает:
Apple известно из отчета, что данная проблема могла активно эксплуатироваться.
Ошибки с идентификаторами CVE-2023-41064 и CVE-2023-41061 были обнаружены в фреймворках Image I/O и Wallet. Первая из них обнаружена Citizen Lab, а вторая — Apple.
Лаборатория Citizen Lab также обнаружила, что уязвимости CVE-2023-41064 и CVE-2023-41061 активно использовались в составе цепочки эксплойтов «с нулевым кликом» для iMessage под названием BLASTPASS. Эксплойты использовались для установки наемного шпионского ПО Pegasus компании NSO Group на полностью пропатченные iPhone (под управлением iOS 16.6) через вложения PassKit с вредоносными изображениями.
- CVE-2023-41064 — уязвимость переполнения буфера, которая возникает при обработке вредоносных изображений и может привести к выполнению произвольного кода на непропатченных устройствах.
- CVE-2023-41061 — это проблема валидации, которая привести к выполнению произвольного кода на целевых устройствах с помощью вредоносного вложения.
Apple исправила уязвимости «нулевого дня» в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Список затронутых устройств довольно обширен и включает:
- iPhone 8 и более поздние версии
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее
- Компьютеры Mac под управлением macOS Ventura
- Apple Watch Series 4 и более поздние модели
Исправлено уже 13 уязвимостей «нулевого дня» в этом году
С начала года Apple исправила 13 уязвимостей нулевого дня, которые были использованы в реальных атаках для взлома устройств на iOS, macOS, iPadOS и watchOS.
Два месяца назад, в июле, компания Apple выпустила обновления «Быстрый ответ на угрозы» для устранения уязвимости (CVE-2023-37450), затрагивающей полностью обновленные модели iPhone, Mac и iPad.
Позднее компания подтвердила, что эти обновления частично нарушают работу веб-браузеров на исправленных устройствах, и через два дня выпустила исправленные версии патчей.
Ранее компания устранила:
- Две уязвимости нулевого дня (CVE-2023-37450 и CVE-2023-38606) в июле.
- Три уязвимости нулевого дня (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне.
- Три уязвимости нулевого дня (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае.
- Две уязвимости нулевого дня (CVE-2023-28206 и CVE-2023-28205) в апреле.
- Еще одну уязвимость нулевого дня WebKit (CVE-2023-23529) в феврале.
Обновления программ, что нового
• Алиса оживила фото более 1,5 млн раз за два дня и вышла в топ App Store
• Новый бюджетник Samsung Galaxy A17 4G: характеристики и цена
• AMD Radeon Software Adrenalin 25.9.2 Non-WHQL. Поддержка AMD Radeon RX 7700 (16 ГБ)
• One UI 8 для серии Samsung Galaxy S25: стабильное обновление стало доступно в новых странах
• Релиз Vivaldi 7.6: Улучшенное управление вкладками
• POCO C85 вышел в России: большой экран 6,9", аккумулятор 6000 мАч и быстрая зарядка