Apple je u ponedjeljak uveo sigurnosna ažuriranja za iOS, iPadOS, macOS i Safari kako bi riješio Zero-Day propust za koji je rekao da se aktivno iskorištava u divljini.
Praćen kao CVE-2023-23529, problem se odnosi na grešku zabune tipa u pretraživaču WebKit koja se može aktivirati prilikom obrade malicioznog kreiranog web sadržaja, što kulminira proizvoljnim izvršavanjem koda.
Apple je rekao da je greška riješena poboljšanim provjerama, dodajući da je “svjestan izvještaja da je ovaj problem možda aktivno iskorištavan”. Anonimni istraživač je zaslužan za prijavu greške.
Nije odmah jasno kako se ranjivost iskorištava u napadima u stvarnom svijetu, ali to je druga aktivno zloupotrebljena greška konfuzije u WebKit-u koju je Apple zakrpio nakon CVE-2022-42856 u isto toliko mjeseci, koji je zatvoren u decembru 2022. godine.
Nedostaci WebKit-a su takođe značajni po tome što utiču na svaki web pretraživač treće strane koji je dostupan za iOS i iPadOS zbog Apple-ovih ograničenja koja zahtijevaju od dobavljača pretraživača da koriste isti okvir za prikazivanje.
Kompanija se bavi i problemom bez upotrebe u kernelu (CVE-2023-23514) koji bi mogao dozvoliti lažnoj aplikaciji da izvršava proizvoljni kod sa najvišim privilegijama.
Zaslužni za prijavljivanje problema su Xinru Chi iz Pangu Lab-a i Ned Williamson iz Google Project Zero. Apple je rekao da je riješio ranjivost poboljšanim upravljanjem memorijom.
Zasebno, najnovije ažuriranje macOS-a takođe uključuje nedostatak privatnosti u prečicama koje aplikacija sa malicioznim softverom može iskoristiti da “promatra nezaštićene korisničke podatke”. Problem je, napominje Apple, riješen poboljšanim rukovanjem privremenim datotekama.
Korisnicima se savjetuje da ažuriraju na iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 i Safari 16.3.1 kako bi umanjili potencijalne rizike. Ažuriranja su dostupna za sljedeće uređaje:
- iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji i iPad mini 5. generacija i noviji
- Mac-ovi koji koriste macOS Ventura, macOS Big Sur i macOS Monterey
Apple je ispravio ukupno deset Zero-Day grešaka koji obuhvataju softver u 2022. godini, od kojih je devet otkriveno kao aktivno iskorištavano od strane hakera. Četiri od tih deset nedostataka otkriveni su u WebKit-u.
Izvor: The Hacker News