Soron kívüli biztonsági frissítés érkezett az Apple-től iPhone, iPad és Mac eszközökhöz a WebKit böngészőmotor egy aktívan kihasznált nulladik napi (zero day) sérülékenysége miatt.
A szóban forgó CVE-2023-23529 (1, 2) számon nyomon követett WebKit hiba akár az operációs rendszer összeomlását is okozhatja. Sikeres kihasználás esetén, miután a céleszközön megnyitásra került egy rosszindulatú weboldal – a sérülékenység ugyanis a Safari 16.3.1-es verzióját is érinti a macOS Big Sur és Monterey rendszeren – a támadók tetszőleges kódokat futtathatnak a célrendszeren.
A sérülékenység régebbi és újabb eszközöket is érint, köztük az iPhone 8 és annál újabb verziókat, az iPad Pro minden modelljét, az iPad Air 3. generációját és újabb verzióit, az iPad 5. generációját és újabb verzióit, az iPad mini 5. generációját és újabb verzióit, valamint a MacOS Venturát.
Bár a cég elmondása szerint a sérülékenységet aktívan kihasználják a rosszindulatú szereplők, a támadások részleteiről nem tettek közzé információkat. A zero day sérülékenység mellett egy kernelszintű jogosultság-kiterjesztést lehetővé hiba (CVE-2023-23514) is javításra került, ami az iPhone és Mac eszközöket érintette.
Az Apple javította a sérülékenységet az iOS 16.3.1-es, az iPadOS 16.3.1-es és a macOS Ventura 13.2.1-es verzióiban, így az érintett felhasználóknak javasolt a frissítések mielőbbi telepítése.
