Az Apple vészhelyzeti biztonsági frissítések adott ki két zero-day sebezhetőség javítására, amelyek iPhone, iPad és Mac készülékeket érintettek.
„Az Apple értesült egy olyan jelentésről, amely szerint ezt a problémát az iOS 16.7.1 előtti verziókban is kihasználhatták” – közölte a vállalat a szerdán kiadott tájékoztatóban.
A két hibát a WebKit böngészőmotorban találták (CVE-2023-42916 és CVE-2023-42917), amelyek lehetővé teszik a támadók számára, hogy egy out-of-bounds gyengeségen keresztül érzékeny információkhoz férjenek hozzá, valamint egy memóriakorrupciós hibán keresztül tetszőleges kódfuttatást érjenek el a sebezhető eszközökön.
A vállalat szerint az iOS 17.1.2, az iPadOS 17.1.2, a macOS Sonoma 14.1.2 és a Safari 17.1.2 operációs rendszert futtató eszközökön a biztonsági hibákat erősebb input validálással és zárolással orvosolta.
Az érintett Apple eszközök listája meglehetősen terjedelmes, és többek között a következőket tartalmazza:
- iPhone XS és újabb készülékek
- iPad Pro 12,9 hüvelykes 2. generáció és újabb, iPad Pro 10,5 hüvelykes, iPad Pro 11 hüvelykes 1. generáció és újabb, iPad Air 3. generáció és újabb, iPad 6. generáció és újabb, valamint iPad mini 5. generáció és újabb
- MacOS Monterey, Ventura, Sonoma operációs rendszert futtató Mac számítógépek
Míg az Apple nem adott ki információkat a sebezhetőség kihasználásról, a Google TAG kutatói gyakran találtak és tettek közzé zero-day-eket, amelyeket államilag támogatott kémprogram-támadásokban használtak fel magas kockázatú személyek, például újságírók, ellenzéki politikusok és disszidensek ellen.
A CVE-2023-42916 és a CVE-2023-42917 a 19. és a 20. támadásokban kihasznált zero-day sebezhetőség, amelyeket az Apple idén javított.
