Η Apple διορθώνει το νέο zero-day που χρησιμοποιείται σε επιθέσεις κατά iPhone και Mac
Η
Apple
κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση των τρωτών σημείων zero-day που εκμεταλλεύονται σε επιθέσεις που στοχεύουν
iPhone
, Mac και iPad.
«Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει αξιοποιηθεί ενεργά», η εταιρεία
είπε
σε μια συμβουλή που περιγράφει ένα ελάττωμα του WebKit που εντοπίστηκε ως CVE-2023-37450 και αντιμετωπίστηκε σε έναν νέο γύρο ενημερώσεων Ταχείας Απόκρισης Ασφαλείας (RSR) νωρίτερα αυτόν τον μήνα.
Το άλλο zero-day που επιδιορθώθηκε σήμερα είναι ένα νέο ελάττωμα του πυρήνα που εντοπίστηκε ως CVE-2023-38606 και το οποίο χρησιμοποιήθηκε σε επιθέσεις που στοχεύουν συσκευές που εκτελούν παλαιότερες εκδόσεις iOS.
“Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργή εκμετάλλευση έναντι εκδόσεων του iOS που κυκλοφόρησαν πριν από το iOS 15.7.1”, η εταιρεία
είπε
.
Οι εισβολείς θα μπορούσαν να το εκμεταλλευτούν σε μη επιδιορθωμένες συσκευές για να τροποποιήσουν ευαίσθητες καταστάσεις πυρήνα. Η Apple αντιμετώπισε τις δύο αδυναμίες με βελτιωμένους ελέγχους και διαχείριση κατάστασης.
Η εταιρεία υποστήριξε επίσης ενημερώσεις κώδικα ασφαλείας για μηδενική ημέρα (CVE-2023-32409) που απευθύνονταν τον Μάιο σε συσκευές με tvOS 16.6 και watchOS 9.6
Η Apple αντιμετώπισε τις τρεις ημέρες μηδέν στο macOS Ventura 13.4, iOS και
iPadOS
16.5, tvOS 16.5, watchOS 9.5 και Safari 16.5 με βελτιωμένους ελέγχους ορίων, επικύρωση εισόδου και διαχείριση μνήμης.
Η λίστα των συσκευών που επηρεάστηκαν από τις δύο μηδενικές ημέρες που καθορίστηκαν σήμερα είναι αρκετά εκτενής και περιλαμβάνει μια μεγάλη γκάμα μοντέλων iPhone και iPad, καθώς και Mac με macOS Big Sur, Monterey και Ventura.
Η ενδέκατη zero-day αξιοποιήθηκε σε επιθέσεις που διορθώθηκαν φέτος
Από την αρχή του έτους, η Apple έχει διορθώσει 11 ελαττώματα zero-day που εκμεταλλεύονται οι εισβολείς για να στοχεύουν συσκευές με iOS, macOS και iPadOS.
Νωρίτερα αυτό το μήνα, η Apple κυκλοφόρησε εκτός ζώνης ενημερώσεις Rapid
Security
Response (RSR) για την αντιμετώπιση ενός σφάλματος (CVE-2023-37450) που επηρεάζει πλήρως τα επιδιορθωμένα iPhone, Mac και iPad.
Η εταιρεία επιβεβαίωσε αργότερα ότι οι ενημερώσεις RSR έσπασαν την περιήγηση στον ιστό σε ορισμένους ιστότοπους και κυκλοφόρησε σταθερές εκδόσεις των ενημερώσεων κώδικα buggy δύο ημέρες αργότερα.
Πριν από αυτό, η Apple αναφέρθηκε επίσης:
