Во вторник компания опубликовала следующее сообщение:
Apple известно о том, что эта проблема могла эксплуатироваться в реальных атаках.
Две ошибки были обнаружены в ядре iOS (CVE-2024-23225) и RTKit (CVE-2024-23296), что позволяет злоумышленникам с произвольными возможностями чтения и записи ядра обойти защиту памяти ядра.
Компания устранила проблемы безопасности устройств под управлением iOS 17.4, iPadOS 17.4, iOS 16.7.6 и iPad 16.7.6 за счет улучшенной валидации вводимых данных.
Проблема затрагивает следующие устройства Apple:
- iPhone XS и новее, iPhone 8, iPhone 8 Plus, iPhone X, iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го поколения
- iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее
Компания не раскрывает, кто обнаружил данные уязвимости и не приводит детали возможных атак.
Обычно данные уязвимости используются в спонсируемых государством атаках шпионского ПО на лиц из группы высокого риска, таких как журналисты, оппозиционные политики и диссиденты.
Хотя уязвимости нулевого дня использовались только в таргетированных атаках, настоятельно рекомендуется как можно скорее установить текущие обновления безопасности, чтобы заблокировать потенциальные попытки атак.
Всего в 2024 году Apple устранила три уязвимости «нулевого дня». В прошлом году было исправлено 20 уязвимостей «нулевого дня», которые применялись в реальных атаках, включая:
- Две уязвимости нулевого дня (CVE-2023-42916 и CVE-2023-42917) в ноябре
- Две уязвимости нулевого дня (CVE-2023-42824 и CVE-2023-5217) в октябре.
- Пять уязвимостей нулевого дня (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992, и CVE-2023-41993) в сентябре
- Две уязвимости нулевого дня (CVE-2023-37450 и CVE-2023-38606) в июле
- Три уязвимости нулевого дня (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне.
- Три уязвимости нулевого дня (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае.
- Две уязвимости нулевого дня (CVE-2023-28206 и CVE-2023-28205) в апреле.
- Еще одну уязвимость нулевого дня WebKit (CVE-2023-23529) в феврале.
Обновления программ, что нового
• «Лаборатория Касперского» закроет офис в Великобритании и сократит штат сотрудников
• Telegram анонсировал возможность добавлять медиафайлы в отправленные сообщения
• Роскомнадзор заблокировал мессенджер Discord в России
• Обновление Intel ARC Game On Driver 32.0.101.6083 Non-WHQL. Поддержка Diablo IV: Vessel of Hatred, DRAGON BALL: Sparking! ZERO и Silent Hill 2
• Google тестирует поддержку расширений в новой версии Chrome для Android
• Vivo X200: большая батарея и впечатляющие камеры