Apple устранила две уязвимости «нулевого дня», используемые в атаках на iPhone и Mac

2023-09-08 2895 комментарии
Компания Apple выпустила экстренные обновления безопасности для исправления двух уязвимостей «нулевого дня», которые применялись в реальных атаках на пользователей iPhone и Mac. Всего с начала года было исправлено 13 уязвимостей «нулевого дня»

В бюллетени по безопасности компания Apple сообщает:

Apple известно из отчета, что данная проблема могла активно эксплуатироваться.

Ошибки с идентификаторами CVE-2023-41064 и CVE-2023-41061 были обнаружены в фреймворках Image I/O и Wallet. Первая из них обнаружена Citizen Lab, а вторая — Apple.

Лаборатория Citizen Lab также обнаружила, что уязвимости CVE-2023-41064 и CVE-2023-41061 активно использовались в составе цепочки эксплойтов «с нулевым кликом» для iMessage под названием BLASTPASS. Эксплойты использовались для установки наемного шпионского ПО Pegasus компании NSO Group на полностью пропатченные iPhone (под управлением iOS 16.6) через вложения PassKit с вредоносными изображениями.

  • CVE-2023-41064 — уязвимость переполнения буфера, которая возникает при обработке вредоносных изображений и может привести к выполнению произвольного кода на непропатченных устройствах.
  • CVE-2023-41061 — это проблема валидации, которая привести к выполнению произвольного кода на целевых устройствах с помощью вредоносного вложения.

Apple исправила уязвимости «нулевого дня» в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.

Список затронутых устройств довольно обширен и включает:

  • iPhone 8 и более поздние версии
  • iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее
  • Компьютеры Mac под управлением macOS Ventura
  • Apple Watch Series 4 и более поздние модели

Исправлено уже 13 уязвимостей «нулевого дня» в этом году

С начала года Apple исправила 13 уязвимостей нулевого дня, которые были использованы в реальных атаках для взлома устройств на iOS, macOS, iPadOS и watchOS.

Два месяца назад, в июле, компания Apple выпустила обновления «Быстрый ответ на угрозы» для устранения уязвимости (CVE-2023-37450), затрагивающей полностью обновленные модели iPhone, Mac и iPad.

Позднее компания подтвердила, что эти обновления частично нарушают работу веб-браузеров на исправленных устройствах, и через два дня выпустила исправленные версии патчей.

Ранее компания устранила:

  • Две уязвимости нулевого дня (CVE-2023-37450 и CVE-2023-38606) в июле.
  • Три уязвимости нулевого дня (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне.
  • Три уязвимости нулевого дня (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае.
  • Две уязвимости нулевого дня (CVE-2023-28206 и CVE-2023-28205) в апреле.
  • Еще одну уязвимость нулевого дня WebKit (CVE-2023-23529) в феврале.
© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте