Apple выпустила экстренные обновления безопасности для исправления двух новых уязвимостей нулевого дня, используемых в атаках на пользователей iPhone и Mac. Всего с начала года исправлено 13 использованных уязвимостей нулевого дня.
«Apple известно о сообщении о том, что эта проблема, возможно, активно использовалась», — заявили в компании. раскрытый в безопасность рекомендации описание недостатков безопасности.
Все ошибки были обнаружены в платформах Image I/O и Wallet и отслеживаются как CVE-2023-41064 (обнаружено исследователями безопасности Citizen Lab) и CVE-2023-41061 (обнаружено Apple).
Гражданин Лаборатории также раскрыто сегодня что ошибки CVE-2023-41064 и CVE-2023-41061 были частью цепочки эксплойтов iMessage с нулевым щелчком мыши, используемой для развертывания шпионского ПО Pegasus от NSO Group на полностью исправленных iPhone (под управлением iOS (16.6) через вложения PassKit, содержащие вредоносные изображения.
CVE-2023-41064 — это уязвимость, связанная с переполнением буфера, которая срабатывает при обработке вредоносных изображений и может привести к выполнению произвольного кода на непропатченных устройствах.
CVE-2023-41061 — это проблема проверки, которую можно использовать с помощью вредоносного вложения для выполнения произвольного кода на целевых устройствах.
Apple исправила нулевой день в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Список затронутых устройств довольно обширен, поскольку две ошибки безопасности затрагивают как старые, так и новые модели, и включает в себя:
- айфон 8 и новее
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее
- Компьютеры Mac под управлением macOS Ventura
- Apple Watch Series 4 и новее
В этом году зафиксировано 13 эксплуатируемых нулевых дней
С начала года Apple исправила 13 ошибок нулевого дня, которые использовались при атаках на устройства под управлением iOS, macOS, iPadOS и watchOS.
Два месяца назад, в июле, Apple внеполосные обновления Rapid Security Response (RSR) для устранения уязвимости (CVE-2023-37450), затрагивающей полностью исправленные iPhone, Mac и iPad.
Позже было подтверждено, что RSR обновляется частично. сломался просмотр веб-страниц на пропатченных устройствах и выпущены новые и исправленные версии патчей с ошибками два дня спустя.
До сегодняшнего дня Apple также обращалась:
Обновление от 07 сентября, 15:42 по восточному времени: Добавлена информация о раскрытии Citizen Lab цепочки эксплойтов iMessage с нулевым щелчком мыши.
2023-09-07 17:58:55
1694116940
#Apple #раскрыла #две #новые #уязвимости #нулевого #дня #которые #использовались #для #атак #на #iPhone #Mac
