Apple исправила две новые уязвимости «нулевого дня» для iPhone

2024-03-06 2528 комментарии
Компания Apple выпустила экстренные обновления безопасности iOS 17.4 с исправлениями двух уязвимостей «нулевого дня» в iOS, которые использовались при атаках на iPhone

Во вторник компания опубликовала следующее сообщение:

Apple известно о том, что эта проблема могла эксплуатироваться в реальных атаках.

Две ошибки были обнаружены в ядре iOS (CVE-2024-23225) и RTKit (CVE-2024-23296), что позволяет злоумышленникам с произвольными возможностями чтения и записи ядра обойти защиту памяти ядра.

Компания  устранила проблемы безопасности устройств под управлением iOS 17.4, iPadOS 17.4, iOS 16.7.6 и iPad 16.7.6 за счет улучшенной валидации вводимых данных.

Проблема затрагивает следующие устройства Apple:

  • iPhone XS и новее, iPhone 8, iPhone 8 Plus, iPhone X, iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го поколения
  • iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее

Компания не раскрывает, кто обнаружил данные уязвимости и не приводит детали возможных атак.

Обычно данные уязвимости используются в спонсируемых государством атаках шпионского ПО на лиц из группы высокого риска, таких как журналисты, оппозиционные политики и диссиденты.

Хотя уязвимости нулевого дня использовались только в таргетированных атаках, настоятельно рекомендуется как можно скорее установить текущие обновления безопасности, чтобы заблокировать потенциальные попытки атак.

Всего в 2024 году Apple устранила три уязвимости «нулевого дня». В прошлом году было исправлено 20 уязвимостей «нулевого дня», которые применялись в реальных атаках, включая:

  • Две уязвимости нулевого дня (CVE-2023-42916 и CVE-2023-42917) в ноябре
  • Две уязвимости нулевого дня (CVE-2023-42824 и CVE-2023-5217) в октябре.
  • Пять уязвимостей нулевого дня (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992, и CVE-2023-41993) в сентябре
  • Две уязвимости нулевого дня (CVE-2023-37450 и CVE-2023-38606) в июле
  • Три уязвимости нулевого дня (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне.
  • Три уязвимости нулевого дня (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае.
  • Две уязвимости нулевого дня (CVE-2023-28206 и CVE-2023-28205) в апреле.
  • Еще одну уязвимость нулевого дня WebKit (CVE-2023-23529) в феврале.
© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте