Apple je objavio softverske nadogradnje za iOS, iPadOS, macOS i Safari web pretraživač kako bi riješio dva sigurnosna propusta za koje kaže da su bili pod aktivnom eksploatacijom u stvarnom svijetu na starijim verzijama njegovog softvera.
Ranjivosti, od kojih se obje nalaze u web pretraživaču WebKit, opisane su u nastavku –
- CVE-2023-42916 – Problem čitanja izvan granica koji bi se mogao iskoristiti za curenje osjetljivih informacija prilikom obrade web sadržaja.
- CVE-2023-42917 – Greška oštećenja memorije koja može dovesti do proizvoljnog izvršavanja koda prilikom obrade web sadržaja.
Apple je rekao da je svjestan izvještaja koji iskorištavaju nedostatke “protiv verzija iOS-a prije iOS-a 16.7.1”, koji je objavljen 10. oktobra 2023. Clément Lecigne iz Google-ove grupe za analizu prijetnji (TAG) zaslužan je za otkrivanje i prijavljivanje dvostrukih nedostataka.
Proizvođač iPhone-a nije pružio dodatne informacije u vezi s tekućom eksploatacijom, ali su ranije otkriveni nulti dani u iOS-u korišteni za isporuku plaćenog špijunskog softvera koji cilja na visokorizične pojedince, kao što su aktivisti, disidenti, novinari i političari.
Ovdje je vrijedno naglasiti da svaki web preglednik treće strane koji je dostupan za iOS i iPadOS, uključujući Google Chrome, Mozilla Firefox, i Microsoft Edge, i druge, pokreće WebKit mehanizam za renderovanje zbog ograničenja koje je nametnuo Apple, što ga čini unosnom i širokom površinom napada.
Ažuriranja su dostupna za sljedeće uređaje i operativne sisteme –
- iOS 17.1.2 i iPadOS 17.1.2 – iPhone XS i noviji, iPad Pro 12,9 inča 2. generacije i noviji, iPad Pro 10,5 inča, iPad Pro 11 inča 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i novije, i iPad mini 5. generacije i noviji
- macOS Sonoma 14.1.2 – Macovi koji koriste macOS Sonoma
- Safari 17.1.2 – Macovi koji koriste macOS Monterey i macOS Ventura
Uz najnovije sigurnosne ispravke, Apple je otklonio čak 19 aktivno eksploatisanih zero day od početka 2023. To također dolazi nekoliko dana nakon što je Google poslao ispravke za veliku grešku u Chromeu (CVE-2023-6345) koja je takođe bila pod napadima iz stvarnog svijeta, što je sedmi zero day koji je kompanija zakrpila ove godine.
Izvor: The Hacker News