Η Apple έχει απελευθερώθηκε ενημερώσεις λογισμικού για το iOS, το iPadOS, το macOS και το πρόγραμμα περιήγησης ιστού Safari για την αντιμετώπιση δύο ελαττωμάτων ασφαλείας τα οποία, όπως είπε, έχουν γίνει ενεργή εκμετάλλευση στην άγρια φύση σε παλαιότερες εκδόσεις του λογισμικού της.
Τα τρωτά σημεία, τα οποία βρίσκονται και τα δύο στη μηχανή του προγράμματος περιήγησης WebKit, περιγράφονται παρακάτω –
- CVE-2023-42916 – Ένα ζήτημα ανάγνωσης εκτός ορίων που θα μπορούσε να χρησιμοποιηθεί για τη διαρροή ευαίσθητων πληροφοριών κατά την επεξεργασία περιεχομένου ιστού.
- CVE-2023-42917 – Ένα σφάλμα καταστροφής μνήμης που θα μπορούσε να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα κατά την επεξεργασία περιεχομένου ιστού.
Η Apple είπε ότι γνωρίζει τις αναφορές που εκμεταλλεύονται τις ελλείψεις “σε εκδόσεις του iOS πριν από το iOS 16.7.1”, το οποίο κυκλοφόρησε στις 10 Οκτωβρίου 2023. Ο Clément Lecigne της Ομάδας Ανάλυσης Απειλές της Google (TAG) έχει πιστωθεί με την ανακάλυψη και την αναφορά των δίδυμων ελαττωμάτων .
Ο κατασκευαστής του iPhone δεν παρείχε πρόσθετες πληροφορίες σχετικά με τη συνεχιζόμενη εκμετάλλευση, αλλά οι μηδενικές ημέρες που είχαν αποκαλυφθεί προηγουμένως στο iOS έχουν χρησιμοποιηθεί για παραδίδω μισθοφόρο spyware στοχεύοντας άτομα υψηλού κινδύνου, όπως ακτιβιστές, αντιφρονούντες, δημοσιογράφους και πολιτικούς.
Αξίζει να επισημάνουμε εδώ ότι κάθε πρόγραμμα περιήγησης ιστού τρίτου κατασκευαστή που είναι διαθέσιμο για iOS και iPadOS, συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Edge και άλλων, τροφοδοτείται από τη μηχανή απόδοσης WebKit λόγω περιορισμών που επιβάλλονται από την Apple, καθιστώντας το προσοδοφόρα και ευρεία επιφάνεια επίθεσης.
Οι ενημερώσεις είναι διαθέσιμες για τις ακόλουθες συσκευές και λειτουργικά συστήματα –
- iOS 17.1.2 και iPadOS 17.1.2 – iPhone XS και μεταγενέστερα, iPad Pro 12,9 ιντσών 2ης γενιάς και μεταγενέστερα, iPad Pro 10,5 ιντσών, iPad Pro 11 ιντσών 1ης γενιάς και μεταγενέστερα, iPad Air 3ης γενιάς και μεταγενέστερα, iPad 6ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και αργότερα
- macOS Sonoma 14.1.2 – Mac με macOS Sonoma
- Safari 17.1.2 – Mac που τρέχουν macOS Monterey και macOS Ventura
Με τις πιο πρόσφατες διορθώσεις ασφαλείας, η Apple έχει αποκαταστήσει τόσες 19 αξιοποιήθηκαν ενεργά zero-days από την αρχή του 2023. Έρχεται επίσης λίγες μέρες αφότου η Google απέστειλε διορθώσεις για ένα υψηλής σοβαρότητας ελάττωμα στο Chrome (CVE-2023-6345) που έχει δεχθεί επίσης πραγματικές επιθέσεις, καθιστώντας την έβδομη zero-day που επιδιορθώνεται από την εταιρεία φέτος.