Авторы Apple устранили две уязвимости нулевого дня в iOS, iPadOS, macOS и браузере Safari, которые ранее были использованы хакерами.
Первая уязвимость была присвоена идентификатор CVE-2023-28206 и связана с out-of-bounds записью в IOSurfaceAccelerator, что может вызвать повреждение данных, сбои или выполнение кода. Успешное использование такой ошибки может дать злоумышленникам возможность использовать вредоносное приложение для выполнения произвольного кода с привилегиями ядра на атакуемых устройствах.
Вторая уязвимость (CVE-2023-28205) является проблемой use-after-free в WebKit, которая может привести к повреждению данных или выполнению произвольного кода при повторном использовании памяти. Эта уязвимость может быть эксплуатирована через веб-страницу, контролируемую хакерами, и привести к выполнению кода на скомпрометированных системах.
Обе уязвимости нулевого дня были исправлены в iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 и Safari 16.4.1. Apple информирует, что ряд затронутых устройств широкий и включает:
- iPhone 8 и новее;
- iPad Pro (все модели);
- iPad Air 3-го поколения и новее;
- iPad 5-го поколения и новее;
- iPad mini 5-го поколения и новее;
- Mac с установленной macOS Ventura.
Специалисты Google Threat Analysis Group (TAG) и Amnesty International сообщили о том, что они обнаружили эти ошибки, однако технические детали уязвимостей и подробности об отслеженных атаках пока не раскрываются.
Больше статей
Уязвимость BleedingPipe в модах для Minecraft может привести к запуску вредоносных команд на серверах и клиентах
Система для взлома паролей из 24 видеокарт 4090 на архитектуре Ada Lovelace
Nokia 3310 используются для кражи автомобилей