Экстренное обновление Apple: устранены 0day, раскрывающие конфиденциальные данные пользователя

Apple 0Day уязвимость нулевого дня Out-of-bounds Memory corruption iOS iPadOS macOS
Экстренное обновление Apple: устранены 0day, раскрывающие конфиденциальные данные пользователя
Apple 0Day уязвимость нулевого дня Out-of-bounds Memory corruption iOS iPadOS macOS

Обновите прошивку, чтобы сохранить контроль над информацией.

image

Apple выпустила экстренные обновления безопасности для резервных исправлений для двух активно эксплуатируемых уязвимостей нулевого дня в старых iPhone и некоторых моделях Apple Watch и Apple TV. По словам компании, проблема могла быть использована в версиях iOS до iOS 16.7.1.

Отмечается две уязвимости:

  • Уязвимость выхода за границы массива (Out-of-bounds) CVE-2023-42916 (CVSS: 6.5). Обработка веб-контента может привести к раскрытию конфиденциальной информации.
  • Недостаток повреждения памяти (Memory corruption) CVE-2023-42917 (CVSS: 8.8). Обработка веб-контента может привести к выполнению произвольного кода

Ошибки были обнаружены в движке браузера WebKit, разработанном Apple и используемом веб-браузером Safari на платформах компании (например, macOS, iOS, iPadOS). Недостатки могут позволить злоумышленнику получить доступ к конфиденциальным данным и выполнить произвольный код, используя вредоносные веб-страницы, предназначенные для использования ошибок выхода за пределы границ и повреждения памяти на неисправленных устройствах.

Apple устранила уязвимости нулевого дня в iOS 16.7.3, iPadOS 16.7.3 , tvOS 17.2 и watchOS 10.2 , улучшив проверку и блокировку ввода.

Компания сообщает, что ошибки также исправлены в устройствах:

  • iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее;
  • Apple TV HD и Apple TV 4K (все модели);
  • Apple Watch Series 4 и новее.

Клеман Лесинь, исследователь безопасности из группы анализа угроз Google (Threat Analysis Group, TAG), обнаружил и сообщил об обеих уязвимостях нулевого дня.

Хотя Apple еще не предоставила подробную информацию об использовании недостатков в атаках, исследователи из Google TAG часто выявляли и раскрывали информацию о недостатках нулевого дня, используемых в спонсируемых государством атаках на программное обеспечение для наблюдения за высокопоставленными лицами, журналистами, оппозиционерами и диссидентами.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Новости по теме

OpenELM от Apple: 8 мини ИИ-моделей для смартфонов открывают большие возможности

Срочно отключите iMessage: эксплойт за $2 млн дает контроль над iPhone без единого клика

Южная Корея отказывается от iPhone: армия страны запрещает смартфоны

Intel обвиняет производителей материнских плат в нестабильности процессоров

Apple удалила WhatsApp, Telegram и Signal из китайского App Store

Япония вводит новую систему штрафов, чтобы Apple и Google вели себя скромнее

Открытые модели в массы: Apple представила OpenELM

DoubleYou: новый инструмент защиты macOS от АНБ и Apple

Apple запускает производство серверных чипов для ИИ на 3-нм технологии