Apple выпустила экстренные обновления безопасности для iPhone, iPad и Mac

Apple устранила все три уязвимости "нулевого дня", улучшив проверку сертификатов, в следующих операционных системах:

• iOS 17.0.1
• iOS 16.7
• macOS Ventura 13.6
• macOS Monterey 12.7
• iPadOS 17.0.1
• iPadOS 16.7
• watchOS 10.0.1
• watchOS 9.6.3

Компания подтвердила, что знает о сообщениях о возможной активной эксплуатации этих уязвимостей в версиях iOS до iOS 16.7.

Экстренные обновления безопасности

• Две уязвимости были обнаружены в браузерном движке WebKit (CVE-2023-41993) и в системе безопасности (CVE-2023-41991). Эти уязвимости позволяли злоумышленникам обходить проверку подписи с помощью вредоносных приложений или выполнять произвольный код через злонамеренно созданные веб-страницы.
• Третья уязвимость была найдена в Kernel Framework, который предоставляет API и поддержку для расширений ядра и драйверов устройств, работающих в ядре. Локальные злоумышленники могут эксплуатировать этот недостаток (CVE-2023-41992) для повышения привилегий.

Эти уязвимости затрагивают старые и новые модели устройств, включая iPhone 8 и более новые, iPad mini 5-го поколения и более новые, компьютеры Mac с macOS Monterey и выше, а также Apple Watch Series 4 и более новые.

Все три уязвимости "нулевого дня" были обнаружены Билл Марчак (Bill Marczak) из Citizen Lab при Университете Торонто и Мэдди Стоун (Maddie Stone) из Google Threat Analysis Group.

Хотя Apple пока не предоставила дополнительных деталей о реальной эксплуатации этих уязвимостей, исследователи безопасности из Citizen Lab и Google Threat Analysis Group часто сообщали о уязвимостях "нулевого дня", которые использовались в целевых шпионских атаках против лиц с высоким риском, включая журналистов, оппозиционных политиков и диссидентов.