Skip to main content

Apple, уязвимость нулевого дня, безопасность шпионского ПО iOS

Сегодня Apple выпустила iOS 17.2 для всех пользователей с новым приложением Journal, функцией пространственного захвата видео, проверкой контактного ключа и многим другим. Помимо этих новых функций, обновление включает 10 важных исправлений безопасности в Find My, ядре, Safari, WebKit и Siri.

На странице обновлений безопасности Apple были представлены все подробности исправлений уязвимостей, входящих в состав iOS 17.2. К счастью, ни один из недостатков не был известен как активно эксплуатируемый.

Тем не менее, обновление по-прежнему важно устанавливать, поскольку оно устраняет такие проблемы, как:

«Найди мою ошибку», из-за которой «приложение может считывать конфиденциальную информацию о местоположении». Ошибка ядра, из-за которой «приложение может выйти из своей песочницы». Ошибка Safari, из-за которой «доступ к вкладкам приватного просмотра может быть возможен без аутентификации». Недостаток Siri, из-за которого « злоумышленник, имеющий физический доступ, может использовать Siri для доступа к конфиденциальным пользовательским данным».

Перейдите в раздел «Устройства Apple» > «Настройки», чтобы узнать, доступны ли последние версии. Apple также выпустила macOS 14.2, watchOS 10.2 и tvOS 17.2.

Полные примечания к выпуску обновления безопасности iOS 17.2 и iPadOS 17.2:

Счета

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Приложение может иметь доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфиденциальности устранена путем улучшенного редактирования личных данных для записей журнала.

CVE-2023-42919: Кирин (@Pwnrin)

AVEVideoEncoder

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Приложение может раскрывать память ядра.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2023-42884: анонимный исследователь.

РасширениеKit

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Приложение может иметь доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфиденциальности устранена путем улучшенного редактирования личных данных для записей журнала.

CVE-2023-42927: Ной Роскин-Фрейзи и профессор Дж. (лаборатория ZeroClicks.ai)

Найди мой

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Приложение может считывать конфиденциальную информацию о местоположении.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2023-42922: Войцех Регула из SecuRing (wojciechregula.blog)

ИзображениеIO

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Обработка изображения может привести к выполнению произвольного кода.

Описание. Проблема устранена путем улучшенной обработки памяти.

CVE-2023-42898: Джунсунг Ли

CVE-2023-42899: Мейсам Фирузи @R00tkitSMM и Джунсунг Ли

Ядро

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Приложение может выйти из «песочницы».

Описание. Проблема устранена путем улучшенной обработки памяти.

CVE-2023-42914: Элой Бенуа-Вандербекен (@elvanderb) из Synacktiv (@Synacktiv)

Частный просмотр Safari

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Вкладки частного просмотра могут быть доступны без аутентификации.

Описание. Проблема устранена путем улучшенного управления состоянием.

CVE-2023-42923: АРДЖУН СД.

Сири

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Злоумышленник, имеющий физический доступ, может использовать Siri для доступа к конфиденциальным пользовательским данным.

Описание: Проблема устранена путем улучшенных проверок.

CVE-2023-42897: Эндрю Голдберг из Школы бизнеса Маккомбса Техасского университета в Остине (linkedin.com/andrew-goldberg-/)

Вебкит

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Обработка веб-контента может привести к выполнению произвольного кода.

Описание. Проблема устранена путем улучшенной обработки памяти.

Ошибка WebKit: 259830
CVE-2023-42890: Pwn2car

Вебкит

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-е поколение и позже

Воздействие. Обработка изображения может привести к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной обработки памяти.

Ошибка WebKit: 263349
CVE-2023-42883: Группа безопасности Zoom Offensive