Сегодня Apple выпустила важное обновление безопасности для iPhone, iPad и Mac. Список исправлений невелик, но iOS 17.1.2 и macOS Sonoma 14.1.2 исправляют две уязвимости веб-безопасности, которыми активно пользуются.
В примечаниях к выпуску этих обновлений Apple использует типичное шаблонное заявление: «Это обновление содержит важные исправления безопасности и рекомендуется для всех пользователей».
Но на странице обновлений безопасности Apple перечислены подробности двух использованных уязвимостей – обе из которых относились к WebKit и сообщалось как активно эксплуатируемые.
Первая уязвимость использовала веб-обработку для «раскрытия конфиденциальной информации», а вторая использовала веб-обработку для выполнения произвольного кода.
Вот полная информация:
Вебкит
Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже
Воздействие. Обработка веб-контента может привести к раскрытию конфиденциальной информации. Apple известно о сообщении о том, что эта проблема могла быть использована в версиях iOS до iOS 16.7.1.
Описание. Чтение за пределами допустимого диапазона устранено путем улучшенной проверки ввода.
Ошибка WebKit: 265041
CVE-2023-42916: Клеман Лесинь из группы анализа угроз Google.Вебкит
Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже
Воздействие. Обработка веб-контента может привести к выполнению произвольного кода. Apple известно о сообщении о том, что эта проблема могла быть использована в версиях iOS до iOS 16.7.1.
Описание. Уязвимость, связанная с повреждением памяти, устранена путем улучшенной блокировки.
Ошибка WebKit: 265067
CVE-2023-42917: Клеман Лесинь из группы анализа угроз Google.
