Apple wydało aktualizację zabezpieczeń dla systemów iOS i iPadOS. Usuwa ona kolejną lukę typu zero-day (CVE-2023-42824) wykorzystywaną w środowisku naturalnym.
W ciągu ostatniego miesiąca Apple dostarczyło poprawki dla szeregu aktywnie wykorzystywanych dni zerowych.
W zeszłym tygodniu pisaliśmy o trzech lukach zero-day załatanych przez firmę. Wykorzystano je w łańcuchu exploitów, aby dostarczyć złośliwe oprogramowanie Intellexa Predator na docelowe urządzenia z systemem iOS.
Inne podatności – CVE-2023-41064 i CVE-2023-41061 zostały powiązane i wykorzystane w celu dostarczenia systemu szpiegującego Pegasus należącego do NSO Group użytkownikom iPhone’ów wysokiego ryzyka.
Obie luki zostały zgłoszone przez Citizen Lab i naprawione zarówno w oddziałach iOS 16, jak i iOS 15.
Krótko o nowym CVE-2023-42824
CVE-2023-42824 to luka w jądrze, która może pozwolić atakującemu podnieść swoje uprawnienia na dotkniętych iPhone’ach i iPadach.
„Apple wie o raporcie mówiącym, iż problem ten mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż iOS 16.6” – stwierdziła firma.
Luka dotyczy następujących urządzeń:
- iPhone XS i nowsze wersje,
- iPad Pro 12,9 cala 2. generacji i nowsze,
- Pad Pro 10,5 cala,
- iPad Pro 11 cali 1. generacji i nowsze,
- iPad Air 3. generacji i nowsze,
- iPad 6. generacji i nowsze,
- iPad mini 5. generacji i nowsze.
Firma zaradziła tej luce, wydając aktualizacje iOS 17.0.3 i iPadOS 17.0.3, obejmujące również CVE-2023-5217 – lukę w zabezpieczeniach związaną z przepełnieniem bufora w kodowaniu vp8 w bibliotece kodeków wideo libvpx, która może pozwolić na wykonanie dowolnego kodu.
Apple rozwiązało problem przepełnienia bufora, aktualizując bibliotekę libvpx 1.13.1.