Η Apple κυκλοφόρησε τη Δευτέρα ενημερώσεις ασφαλείας για το iOS, το iPadOS, το macOS, το tvOS και το πρόγραμμα περιήγησης ιστού Safari για να αντιμετωπίσει ένα ελάττωμα zero-day που έχει γίνει αντικείμενο ενεργητικής εκμετάλλευσης στην άγρια φύση.
Το ζήτημα, παρακολουθείται ως CVE-2024-23222, είναι ένα σφάλμα σύγχυσης τύπου που θα μπορούσε να εκμεταλλευτεί ένας παράγοντας απειλής για την επίτευξη αυθαίρετης εκτέλεσης κώδικα κατά την επεξεργασία περιεχομένου ιστού που έχει δημιουργηθεί κακόβουλα. Ο τεχνολογικός γίγαντας είπε ότι το πρόβλημα επιλύθηκε με βελτιωμένους ελέγχους.
Πληκτρολογήστε τρωτά σημεία σύγχυσηςγενικά, θα μπορούσε να οπλιστεί για να εκτελέσει πρόσβαση στη μνήμη εκτός ορίων ή να οδηγήσει σε συντριβή και αυθαίρετη εκτέλεση κώδικα.
Η Apple, σε μια σύντομη συμβουλή, αναγνώρισε ότι «γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης», αλλά δεν μοιράστηκε άλλες λεπτομέρειες σχετικά με τη φύση των επιθέσεων ή τους παράγοντες απειλών που εκμεταλλεύονται την ανεπάρκεια.
Οι ενημερώσεις είναι διαθέσιμες για τις ακόλουθες συσκευές και λειτουργικά συστήματα –
- iOS 17.3 και iPadOS 17.3 – iPhone XS και μεταγενέστερα, iPad Pro 12,9 ιντσών 2ης γενιάς και μεταγενέστερα, iPad Pro 10,5 ιντσών, iPad Pro 11 ιντσών 1ης γενιάς και μεταγενέστερα, iPad Air 3ης γενιάς και μεταγενέστερα, iPad 6ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και αργότερα
- iOS 16.7.5 και iPadOS 16.7.5 – iPhone 8, iPhone 8 Plus, iPhone X, iPad 5ης γενιάς, iPad Pro 9,7 ιντσών και iPad Pro 12,9 ιντσών 1ης γενιάς
- macOS Sonoma 14.3 – Mac με macOS Sonoma
- macOS Ventura 13.6.4 – Mac που τρέχουν macOS Ventura
- macOS Monterey 12.7.3 – Mac που τρέχουν macOS Monterey
- tvOS 17.3 – Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
- Σαφάρι 17.3 – Mac που τρέχουν macOS Monterey και macOS Ventura
Η ανάπτυξη σηματοδοτεί την πρώτη ενεργά αξιοποιημένη ευπάθεια zero-day που επιδιορθώθηκε από την Apple φέτος. Πέρυσι, ο κατασκευαστής iPhone είχε απευθύνεται σε 20 zero-days που έχουν χρησιμοποιηθεί σε πραγματικές επιθέσεις.
Επιπλέον, η Apple έχει επίσης υποβάλει επιδιορθώσεις για CVE-2023-42916 και CVE-2023-42917 – ενημερώσεις κώδικα για τις οποίες κυκλοφόρησαν τον Δεκέμβριο του 2023 – σε παλαιότερες συσκευές –
- iOS 15.8.1 και iPadOS 15.8.1 – iPhone 6s (όλα τα μοντέλα), iPhone 7 (όλα τα μοντέλα), iPhone SE (1ης γενιάς), iPad Air 2, iPad mini (4ης γενιάς) και iPod touch (7ης γενιάς)
Η αποκάλυψη έπεται επίσης έκθεσης των κινεζικών αρχών αποκάλυψε που έχουν χρησιμοποιήσει προηγουμένως γνωστά τρωτά σημεία στη λειτουργικότητα AirDrop της Apple να βοηθήσει τις αρχές επιβολής του νόμου να εντοπίσουν αποστολείς ακατάλληλου περιεχομένου, χρησιμοποιώντας μια τεχνική που βασίζεται σε πίνακες ουράνιου τόξου.