iOS, macOS, Safari и другие уязвимые устройства

22 сентября 2023 г.ТНННулевой день / Уязвимость

Apple выпустила еще один пакет исправлений безопасности для устранения трех активно используемых уязвимостей нулевого дня, затрагивающих iOS, iPadOS, macOS, watchOS и Safari, в результате чего общее количество ошибок нулевого дня, обнаруженных в ее программном обеспечении в этом году, достигло 16.

Список уязвимостей безопасности следующий:

• CVE-2023-41991 — Проблема проверки сертификата в системе безопасности, которая может позволить вредоносному приложению обойти проверку подписи.
• CVE-2023-41992 – Ошибка безопасности в ядре, которая может позволить локальному злоумышленнику повысить свои привилегии.
• CVE-2023-41993 – Ошибка WebKit, которая может привести к выполнению произвольного кода при обработке специально созданного веб-контента.

Apple не предоставила дополнительных подробностей, за исключением признания того, что «проблема могла активно использоваться в версиях iOS до iOS 16.7».

Обновления доступны для следующих устройств и операционных систем:

• iOS 16.7 и iPadOS 16.7 – iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее.
• iOS 17.0.1 и iPadOS 17.0.1 – iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее позже
• macOS Монтерей 12.7 и macOS Вентура 13.6
• смотретьOS 9.6.3 и смотретьOS 10.0.1 – Apple Watch Series 4 и новее
• Сафари 16.6.1 – macOS Big Sur и macOS Monterey

Обнаружение и сообщение о недостатках принадлежит Биллу Марчаку из Гражданской лаборатории в Школе Мунка при Университете Торонто и Мэдди Стоун из группы анализа угроз Google (TAG), что указывает на то, что ими могли злоупотреблять как часть узконаправленного шпионского ПО, нацеленного на гражданские члены общества, которые подвергаются повышенному риску киберугроз.

Раскрытие информации произошло через две недели после того, как Apple решено две другие активно использовали уязвимости нулевого дня (CVE-2023-41061 и CVE-2023-41064), которые были объединены в цепочку эксплойтов iMessage с нулевым щелчком под названием BLASTPASS для развертывания наемнического шпионского ПО, известного как Pegasus.

За этим последовали оба Google и Мозилла исправления, содержащие уязвимость безопасности (CVE-2023-4863), которая могла привести к выполнению произвольного кода при обработке специально созданного изображения.

Есть основания полагать, что как CVE-2023-41064, уязвимость переполнения буфера в системе анализа изображений ввода-вывода Apple, так и CVE-2023-4863, переполнение буфера кучи в библиотеке изображений WebP (libwebp), могут относиться к та же самая ошибка, по словам основателя Isoceles и бывшего исследователя Google Project Zero Бена Хоукса.

Резилион, в анализ опубликованный в четверг, показал, что библиотека libwebp используется в нескольких операционных системах, пакетах программного обеспечения, приложениях Linux и образах контейнеров, подчеркнув, что масштаб уязвимости гораздо шире, чем первоначально предполагалось.

«Хорошая новость заключается в том, что ошибка, похоже, исправлена ​​правильно в исходной версии libwebp, и этот патч распространяется везде, где ему следует быть», — Хоукс. сказал. «Плохая новость заключается в том, что libwebp используется во многих местах, и может пройти некоторое время, прежде чем патч достигнет насыщения».