В состав iOS 16.5 входит множество важных исправлений безопасности. В последнем обновлении iOS устранено 39 уязвимостей, и Apple отмечает, что три из них активно эксплуатируются.
Apple поделилась последними исправлениями уязвимостей на своей странице обновлений безопасности. В то время как у iOS было больше всего — 39, macOS с Safari 16.5, watchOS 9.5 и tvOS 16.5 также включают важные обновления безопасности.
Поэтому, несмотря на то, что в последних обновлениях не так много новых функций, их важно установить.
Для iOS обновления безопасности включают исправления для всего, от ядра до CoreServices, от фотографий до песочницы, Siri и ярлыков, а также от системных настроек до погоды, WiFi и WebKit.
Вот три исправления безопасности WebKit, которые исправляют то, что считается активно используемыми недостатками:
Примечание. Исправления второй и третьей уязвимости были впервые доступны в Rapid Security Response с iOS 16.4.1(a) 1 мая.
Вебкит
Доступно для: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие. Удаленный злоумышленник может выйти из изолированной программной среды веб-контента. Apple известно об отчете о том, что эта проблема могла активно использоваться.
Описание. Проблема устранена путем улучшенной проверки границ.
Ошибка WebKit: 255350
CVE-2023-32409: Clément Lecigne из группы анализа угроз Google и Donncha Ó Cearbhaill из лаборатории безопасности Amnesty International.
Вебкит
Доступно для: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие. Обработка веб-контента может привести к раскрытию конфиденциальной информации. Apple известно об отчете о том, что эта проблема могла активно использоваться.
Описание. Чтение за пределами допустимого диапазона устранено путем улучшенной проверки ввода.
Ошибка WebKit: 254930
CVE-2023-28204: анонимный исследователь
Впервые эта проблема была решена в Rapid Security Response iOS 16.4.1 (a) и iPadOS 16.4.1 (a).
Вебкит
Доступно для: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.
Описание. Проблема использования после освобождения устранена путем улучшенного управления памятью.
Ошибка WebKit: 254840
CVE-2023-32373: анонимный исследователь
Впервые эта проблема была решена в Rapid Security Response iOS 16.4.1 (a) и iPadOS 16.4.1 (a).