В бюллетени по безопасности компания Apple сообщает:
Apple известно из отчета, что данная проблема могла активно эксплуатироваться.
Ошибки с идентификаторами CVE-2023-41064 и CVE-2023-41061 были обнаружены в фреймворках Image I/O и Wallet. Первая из них обнаружена Citizen Lab, а вторая — Apple.
Лаборатория Citizen Lab также обнаружила, что уязвимости CVE-2023-41064 и CVE-2023-41061 активно использовались в составе цепочки эксплойтов «с нулевым кликом» для iMessage под названием BLASTPASS. Эксплойты использовались для установки наемного шпионского ПО Pegasus компании NSO Group на полностью пропатченные iPhone (под управлением iOS 16.6) через вложения PassKit с вредоносными изображениями.
- CVE-2023-41064 — уязвимость переполнения буфера, которая возникает при обработке вредоносных изображений и может привести к выполнению произвольного кода на непропатченных устройствах.
- CVE-2023-41061 — это проблема валидации, которая привести к выполнению произвольного кода на целевых устройствах с помощью вредоносного вложения.
Apple исправила уязвимости «нулевого дня» в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Список затронутых устройств довольно обширен и включает:
- iPhone 8 и более поздние версии
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее
- Компьютеры Mac под управлением macOS Ventura
- Apple Watch Series 4 и более поздние модели
Исправлено уже 13 уязвимостей «нулевого дня» в этом году
С начала года Apple исправила 13 уязвимостей нулевого дня, которые были использованы в реальных атаках для взлома устройств на iOS, macOS, iPadOS и watchOS.
Два месяца назад, в июле, компания Apple выпустила обновления «Быстрый ответ на угрозы» для устранения уязвимости (CVE-2023-37450), затрагивающей полностью обновленные модели iPhone, Mac и iPad.
Позднее компания подтвердила, что эти обновления частично нарушают работу веб-браузеров на исправленных устройствах, и через два дня выпустила исправленные версии патчей.
Ранее компания устранила:
- Две уязвимости нулевого дня (CVE-2023-37450 и CVE-2023-38606) в июле.
- Три уязвимости нулевого дня (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне.
- Три уязвимости нулевого дня (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае.
- Две уязвимости нулевого дня (CVE-2023-28206 и CVE-2023-28205) в апреле.
- Еще одну уязвимость нулевого дня WebKit (CVE-2023-23529) в феврале.
Обновления программ, что нового
• Флагманы 2026 года: ключевые отличия камер Oppo Find X9 Ultra, Vivo X300 Ultra и Xiaomi 16 Ultra
• С 2026 года Google начнет блокировать неподтвержденные приложения, установка через ADB останется
• COMSS AI для Windows: Доступ к ИИ-сервисам, инструментам разработки и обновлениям
• Google раскрыла лимиты Gemini: сколько промптов, изображений и видео можно генерировать бесплатно и по подписке
• Какие функции Pixel 10 могли бы улучшить iPhone 17
• Samsung представила расписание обновлений Android 16 и One UI 8 для смартфонов, планшетов и часов