В четверг Apple выпустила множество обновлений, которые добавили несколько новых функций для iPhone и Mac. Но что еще более важно, обновления включают в себя три критических исправления нулевого дня для уязвимостей в системе безопасности, которые, как известно, активно использовались. Наиболее тревожные ошибки позволяют хакеру получить доступ к личным данным и захватить ваше устройство через вредоносное приложение.
Недостатки WebKit охватывают семейство устройств Apple и были исправлены в iOS 16.5, iPadOS 16.5, watchOS 9.5, macOS 13.4 и tvOS 16.5, а также в iOS/iPadOS 15.7.6, macOS Monterey 12.6.6 и macOS Big Sur 11.7. 7, а также Safari 16.5. Все обновления включают одни и те же пять исправлений WebKit, три из которых, как известно, были взломаны:
Вебкит
- Влияние: Обработка веб-контента может раскрыть конфиденциальную информацию
- Описание: Чтение за пределами допустимого диапазона устранено путем улучшенной проверки ввода.
- Вебкит Багзилла: 255075
CVE-2023-32402: анонимный исследователь
Вебкит
- Воздействие. Обработка веб-контента может привести к раскрытию конфиденциальной информации.
- Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
- Вебкит Багзилла: 254781
CVE-2023-32423: Игнасио Санмиллан (@ulexec)
Вебкит
- Влияние: Удаленный злоумышленник может выйти из изолированной программной среды веб-контента. Apple известно об отчете о том, что эта проблема могла активно использоваться.
- Описание: Проблема устранена путем улучшенной проверки границ.
- Вебкит Багзилла: 255350
CVE-2023-32409: Клеман Лесин из группы анализа угроз Google и Доннча О Сербхейл из лаборатории безопасности Amnesty International
Вебкит
- Влияние: Обработка веб-контента может привести к раскрытию конфиденциальной информации. Apple известно об отчете о том, что эта проблема могла активно использоваться.
- Описание: Чтение за пределами допустимого диапазона устранено путем улучшенной проверки ввода.
- Вебкит Багзилла: 254930
CVE-2023-28204: анонимный исследователь
Вебкит
- Влияние: Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.
- Описание: Проблема использования после освобождения устранена путем улучшенного управления памятью.
- Вебкит Багзилла: 254840
CVE-2023-32373: анонимный исследователь
Две из трех уязвимостей нулевого дня, CVE-2023-28204 и CVE-2023-32373, ранее были исправлены в рамках первых обновлений Apple Rapid Security Response для iOS и iPadOS (16.4.1 (a)) и macOS Ventura (13.3. 1 (а)).
Чтобы обновить iPhone или iPad, перейдите в приложение «Настройки», затем Общий и Обновление программного обеспечения. На Mac перейдите в «Системные настройки», затем «Общие» и Обновление программного обеспечения; на компьютерах Mac до Ventura найдите приложение «Системные настройки», затем Обновление программного обеспечения.