Вскоре после выпуска сегодня нового программного обеспечения для iPhone и Mac с «важными исправлениями ошибок и обновлениями безопасности» Apple подробно описала особенности устраненных недостатков безопасности. Примечательно, что Apple поделилась сообщениями о том, что они используются в дикой природе.
Apple сообщила на своей странице обновлений безопасности, что две уязвимости (одинаковые) были исправлены как для iOS, так и для macOS.
Первым был недостаток IOSurfaceAccelerator, который позволял приложениям «выполнять произвольный код с привилегиями ядра». Вторым был недостаток WebKit, из-за которого обработка вредоносного кода также приводила к выполнению произвольного кода.
Что касается обоих недостатков, Apple заявляет, что «знает об отчете о том, что эта проблема, возможно, активно использовалась», поэтому установите эти обновления как можно скорее, чтобы быть в безопасности.
Вот полная информация:
IOSurfaceAccelerator
Доступно для: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Apple известно об отчете о том, что эта проблема могла активно использоваться.
Описание. Проблема записи за пределами буфера устранена путем улучшенной проверки ввода.
CVE-2023-28206: Клеман Лесин из группы анализа угроз Google и Доннча О Сирбхейл из лаборатории безопасности Amnesty International.
Вебкит
Доступно для: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.
Описание. Проблема использования после бесплатного использования устранена путем улучшенного управления памятью.
Ошибка WebKit: 254797
CVE-2023-28205: Клеман Лесин из группы анализа угроз Google и Доннча О Сирбхейл из лаборатории безопасности Amnesty International.