Az Apple ismét soron kívüli frissítést adott ki múlt hét pénteken, amellyel két – régebbi eszközöket is érintő – nulladik napi sérülékenység került javításra. A cég által hétfőn közzétett közlemény szerint a kiberbűnözők aktívan ki is használják a sebezhetőségeket.
A szóban forgó sérülékenységek közül a CVE-2023-28206 olyan out-of-bounds írási hiba az IOSurfaceAccelerator objektumon belül, amelynek kihasználásával a támadók kernel szintű jogosultságokkal – egy rosszindulatú alkalmazáson keresztül – tetszőleges kódot hajthatnak végre a sérülékeny eszközön.
A másik zero day sebezhetőség a CVE-2023-28205, amely a WebKit böngésző motor egy olyan use-after-free hibája (felszabadított memóriára való hivatkozás),amely lehetővé teszi a támadóknak, hogy rosszindulatú kódokat hajtsanak végre a sérülékeny iPhone, Mac vagy iPad készüléken, miután rosszindulatú weboldalak megnyitására vették rá azok felhasználóit.
Az Apple az iOS 15.7.5, az iPadOS 15.7.5, a macOS Monterey 12.6.5 és a macOS Big Sur 11.7.6 verziókban orvosolta a zero day sebezhetőségeket, továbbá
- iPhone 6s (minden modell),
- iPhone 7 (minden modell),
- iPhone SE (1. generáció),
- iPad Air 2,
- iPad mini (4. generáció),
- iPod touch (7. generáció),
- valamint a macOS Monterey és Big Sur rendszert futtató Mac eszközök
számára is elérhetővé tette a javítást. Az érintett felhasználóknak javasolt a frissítések mielőbbi telepítése.
