Újabb zero day sérülékenységek miatt adott ki sürgősségi frissítést az Apple

Az Apple ismét soron kívüli frissítést adott ki múlt hét pénteken, amellyel két – régebbi eszközöket is érintő – nulladik napi sérülékenység került javításra. A cég által hétfőn közzétett közlemény szerint a kiberbűnözők aktívan ki is használják a sebezhetőségeket.

A szóban forgó sérülékenységek közül a CVE-2023-28206 olyan out-of-bounds írási hiba az IOSurfaceAccelerator objektumon belül, amelynek kihasználásával a támadók kernel szintű jogosultságokkal – egy rosszindulatú alkalmazáson keresztül – tetszőleges kódot hajthatnak végre a sérülékeny eszközön.

A másik zero day sebezhetőség a CVE-2023-28205, amely a WebKit böngésző motor egy olyan use-after-free hibája (felszabadított memóriára való hivatkozás),amely lehetővé teszi a támadóknak, hogy rosszindulatú kódokat hajtsanak végre a sérülékeny iPhone, Mac vagy iPad készüléken, miután rosszindulatú weboldalak megnyitására vették rá azok felhasználóit.

Az Apple az iOS 15.7.5, az iPadOS 15.7.5, a macOS Monterey 12.6.5 és a macOS Big Sur 11.7.6 verziókban orvosolta a zero day sebezhetőségeket, továbbá

  • iPhone 6s (minden modell),
  • iPhone 7 (minden modell),
  • iPhone SE (1. generáció),
  • iPad Air 2,
  • iPad mini (4. generáció),
  • iPod touch (7. generáció),
  • valamint a macOS Monterey és Big Sur rendszert futtató Mac eszközök

számára is elérhetővé tette a javítást. Az érintett felhasználóknak javasolt a frissítések mielőbbi telepítése.

(bleepingcomputer.com)