Компания Apple выпустила экстренное обновление системы безопасности, исправляющее новый дефект "нулевого дня", используемый в атаках, направленных на пользователей iPhone и iPad.
"Apple известно о том, что данная проблема могла активно эксплуатироваться в версиях iOS до iOS 16.6", - говорится в выпущенном в среду сообщении компании.
Нулевой день (CVE-2023-42824) вызван слабостью, обнаруженной в ядре XNU, которая позволяет локальным злоумышленникам повысить привилегии на непропатченных iPhone и iPad.
Хотя компания Apple заявила, что устранила проблему безопасности в iOS 17.0.3 и iPadOS 17.0.3 с помощью улучшенных проверок, она пока не сообщила, кто нашел и сообщил о дефекте.
Список устройств, подвергшихся воздействию, довольно обширен и включает в себя:
- iPhone XS и более поздние версии
- iPad Pro 12,9-дюймовый 2-го поколения и новее, iPad Pro 10,5-дюймовый, iPad Pro 11-дюймовый 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее.
Компания Apple также устранила проблему нулевого дня, отслеживаемую как CVE-2023-5217 и вызванную переполнением буфера кучи в кодировании VP8 в библиотеке видеокодеков libvpx с открытым исходным кодом, что может привести к выполнению произвольного кода после успешной эксплуатации.
Ранее ошибка libvpx была исправлена компанией Google в браузере Chrome и компанией Microsoft в продуктах Edge, Teams и Skype.
CVE-2023-5217 была обнаружена исследователем безопасности Клеманом Лецинем (Clément Lecigne), входящим в группу анализа угроз (TAG) компании Google. Эта группа экспертов по безопасности известна тем, что часто находит "нулевые дни", используемые в поддерживаемых правительством целевых шпионских атаках, направленных на особо опасных лиц.
17 "нулевых дней", использовавшихся в атаках, исправленных в этом году
CVE-2023-42824 - это 17-я уязвимость нулевого дня, используемая в атаках, которую Apple устранила с начала года.
Недавно Apple также исправила три другие ошибки "нулевого дня" (CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993), о которых сообщили исследователи Citizen Lab и Google TAG и которые использовались в шпионских атаках для установки шпионского ПО Predator компании Cytrox.
Citizen Lab раскрыла еще два "нулевых дня" (CVE-2023-41061 и CVE-2023-41064), исправленных Apple в прошлом месяце, которые использовались в цепочке эксплойтов с нулевым кликом (получившей название BLASTPASS) для заражения полностью пропатченных iPhone шпионской программой Pegasus от NSO Group.
С января 2023 года компания Apple устранила в общей сложности 17 "нулевых дней", используемых для атак на iPhone и компьютеры Mac, в том числе:
- два "нулевых дня" (CVE-2023-37450 и CVE-2023-38606) в июле
- три "нулевых дня" (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне
- еще три "нулевых дня" (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае
- два "нулевых дня" (CVE-2023-28206 и CVE-2023-28205) в апреле
- и еще один "нулевой день" WebKit (CVE-2023-23529) в феврале.
В сегодняшнем выпуске iOS 17.0.3 также устранена известная проблема, вызывающая перегрев iPhone под управлением iOS 17.0.2 и ниже.
"Это обновление содержит важные исправления ошибок, обновления системы безопасности и устраняет проблему, из-за которой iPhone может нагреваться сильнее, чем ожидалось", - говорится в сообщении Apple.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
