Компания Apple выпустила обновление безопасности для устранения нескольких уязвимостей, одной из которых является уязвимость нулевого дня. Apple признала, что уязвимость, отслеживаемая как CVE-2023-23529 и активно эксплуатируется. Недостаток путаницы типов в WebKit может вызвать сбои ОС и сделать возможным выполнение произвольного кода. Об уязвимости сообщил анонимный исследователь, и ее можно использовать с помощью вредоносного веб-контента.

Под атакой

Согласно бюллетеню, опубликованному Apple, исправления доступны для Safari 16.3.1, macOS 13.2.1, iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad. мини 5-го поколения и позже. Поскольку это недостаток WebKit, уязвимости также подвержены сторонние веб-браузеры, доступные для iOS и iPadOS.

Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно о том, что эта проблема могла активно использоваться.

Хотя Apple не раскрывает подробности эксплуатации, это первое исправление нулевого дня Apple в 2023 году, и пользователям предлагается применить обновление к iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 и Safari 16.3. 1 как можно скорее, чтобы оставаться в безопасности.

Другие исправления:

Ядро iOS16.3.1 и iPadOS 16.3.1:

  • Доступно для: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее
  • Воздействие: Приложение может выполнять произвольный код с привилегиями ядра.
  • Описание: Проблема использования после освобождения устранена путем улучшенного управления памятью.
  • CVE-2023-23514: Ксинру Чи из Pangu Lab, Нед Уильямсон из Google Project Zero.

Ядро macOS Ventura 13.2.1:

  • Доступно для: macOS Ventura
  • Воздействие: Приложение может выполнять произвольный код с привилегиями ядра.
  • Описание: Проблема использования после освобождения устранена путем улучшенного управления памятью.
  • CVE-2023-23514: Ксинру Чи из Pangu Lab, Нед Уильямсон из Google Project Zero.

macOS Ventura 13.2.1:

  • Доступно для: macOS Ventura
  • Воздействие: Приложение может отслеживать незащищенные пользовательские данные.
  • Описание: Проблема с конфиденциальностью устранена путем улучшенной обработки временных файлов.
  • CVE-2023-23522: Вэньчао Ли и Сяолун Бай из Alibaba Group

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.