В бюллетени по безопасности компания Apple сообщает:
Apple известно из отчета, что данная проблема могла активно эксплуатироваться.
Ошибки с идентификаторами CVE-2023-41064 и CVE-2023-41061 были обнаружены в фреймворках Image I/O и Wallet. Первая из них обнаружена Citizen Lab, а вторая — Apple.
Лаборатория Citizen Lab также обнаружила, что уязвимости CVE-2023-41064 и CVE-2023-41061 активно использовались в составе цепочки эксплойтов «с нулевым кликом» для iMessage под названием BLASTPASS. Эксплойты использовались для установки наемного шпионского ПО Pegasus компании NSO Group на полностью пропатченные iPhone (под управлением iOS 16.6) через вложения PassKit с вредоносными изображениями.
- CVE-2023-41064 — уязвимость переполнения буфера, которая возникает при обработке вредоносных изображений и может привести к выполнению произвольного кода на непропатченных устройствах.
- CVE-2023-41061 — это проблема валидации, которая привести к выполнению произвольного кода на целевых устройствах с помощью вредоносного вложения.
Apple исправила уязвимости «нулевого дня» в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Список затронутых устройств довольно обширен и включает:
- iPhone 8 и более поздние версии
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее
- Компьютеры Mac под управлением macOS Ventura
- Apple Watch Series 4 и более поздние модели
Исправлено уже 13 уязвимостей «нулевого дня» в этом году
С начала года Apple исправила 13 уязвимостей нулевого дня, которые были использованы в реальных атаках для взлома устройств на iOS, macOS, iPadOS и watchOS.
Два месяца назад, в июле, компания Apple выпустила обновления «Быстрый ответ на угрозы» для устранения уязвимости (CVE-2023-37450), затрагивающей полностью обновленные модели iPhone, Mac и iPad.
Позднее компания подтвердила, что эти обновления частично нарушают работу веб-браузеров на исправленных устройствах, и через два дня выпустила исправленные версии патчей.
Ранее компания устранила:
- Две уязвимости нулевого дня (CVE-2023-37450 и CVE-2023-38606) в июле.
- Три уязвимости нулевого дня (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне.
- Три уязвимости нулевого дня (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае.
- Две уязвимости нулевого дня (CVE-2023-28206 и CVE-2023-28205) в апреле.
- Еще одну уязвимость нулевого дня WebKit (CVE-2023-23529) в феврале.
Обновления программ, что нового
• Intel обновила драйверы Platform Performance Package: поддержка новых игр и улучшения Intel Application Optimization
• OpenAI закрывает браузер ChatGPT Atlas
• В One UI 9 добавят агентный ИИ, но сначала для новых складных Galaxy
• OpenAI открыла доступ к GPT-5.6 Sol, Terra и Luna в ChatGPT
• Opera 133.0.5932.34 Stable: доработки закреплённых вкладок в Early Bird, исправления закладок и поиска
• Яндекс расширил возможности умной ИИ-камеры с Алисой