Obsah
Další zero-day zranitelnost nalezená v zařízeních Apple se systémem iOS a macOS
Apple opravil dvě zero-day zranitelnosti používané při útocích na iPhone a Mac
Apple vydal nouzové aktualizace zabezpečení, které opravují dvě zranitelnosti zero-day, které byly použity při skutečných útocích na uživatele iPhone a Mac. Od začátku roku bylo opraveno celkem 13 zranitelností zero-day.
V bezpečnostním bulletinu Apple říká:
Apple ze zprávy ví, že tento problém by mohl být aktivně zneužit.
V rámcích Image I/O a Wallet byly objeveny chyby s ID CVE-2023-41064 a CVE-2023-41061. První z nich objevila společnost Citizen Lab a druhou společnost Apple.
Citizen Lab také zjistila, že zranitelnosti CVE-2023-41064 a CVE-2023-41061 byly aktivně využívány jako součást řetězce využívání bez kliknutí pro iMessage s názvem BLASTPASS. Tyto exploity byly použity k instalaci spywaru Pegasus společnosti NSO Group k pronájmu na plně opravené iPhony (se systémem iOS 16.6) prostřednictvím příloh PassKit obsahujících škodlivé obrázky.
- CVE-2023-41064 je zranitelnost přetečení vyrovnávací paměti, ke které dochází při zpracování škodlivých obrázků a může vést ke spuštění libovolného kódu na neopravených zařízeních.
- CVE-2023-41061 je problém ověření, který může vést ke spuštění libovolného kódu na cílových zařízeních prostřednictvím škodlivé přílohy.
Apple opravil zero-day zranitelnosti v macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 a watchOS 9.6.2 vylepšením logiky a práce s pamětí.
Seznam postižených zařízení je poměrně rozsáhlý a zahrnuje:
- iPhone 8 a novější
- iPad Pro (všechny modely), iPad Air 3. generace a novější, iPad 5. generace a novější, iPad mini 5. generace a novější
- Počítače Mac se systémem macOS Ventura
- Apple Watch Series 4 a novější
Letos bylo opraveno již 13 zranitelností zero-day
Od začátku roku Apple opravil 13 zero-day zranitelností, které byly použity při skutečných útocích ke kompromitaci zařízení iOS, macOS, iPadOS a watchOS.
Před dvěma měsíci, v červenci, Apple vydal aktualizace Fast Threat Response, které řeší zranitelnost (CVE-2023-37450) ovlivňující plně aktualizované modely iPhone, Mac a iPad.
Společnost později potvrdila, že tyto aktualizace částečně rozbily webové prohlížeče na opravených zařízeních a vydala opravené verze oprav o dva dny později.
Dříve společnost odstranila:
- Dvě zranitelnosti zero-day (CVE-2023-37450 a CVE-2023-38606) v červenci.
- Tři zranitelnosti zero-day (CVE-2023-32434, CVE-2023-32435 a CVE-2023-32439) v červnu.
- Tři zranitelnosti zero-day (CVE-2023-32409, CVE-2023-28204 a CVE-2023-32373) v květnu.
- Dvě zranitelnosti zero-day (CVE-2023-28206 a CVE-2023-28205) v dubnu.
- Další zranitelnost WebKit zero-day (CVE-2023-23529) v únoru.