Apple łata kolejny zero-day na iOS

kapitanhack.pl 1 rok temu

Apple wydało aktualizację zabezpieczeń dla systemów iOS i iPadOS. Usuwa ona kolejną lukę typu zero-day (CVE-2023-42824) wykorzystywaną w środowisku naturalnym.

W ciągu ostatniego miesiąca Apple dostarczyło poprawki dla szeregu aktywnie wykorzystywanych dni zerowych.

W zeszłym tygodniu pisaliśmy o trzech lukach zero-day załatanych przez firmę. Wykorzystano je w łańcuchu exploitów, aby dostarczyć złośliwe oprogramowanie Intellexa Predator na docelowe urządzenia z systemem iOS.

Inne podatności – CVE-2023-41064 i CVE-2023-41061 zostały powiązane i wykorzystane w celu dostarczenia systemu szpiegującego Pegasus należącego do NSO Group użytkownikom iPhone’ów wysokiego ryzyka.

Obie luki zostały zgłoszone przez Citizen Lab i naprawione zarówno w oddziałach iOS 16, jak i iOS 15.

Krótko o nowym CVE-2023-42824

CVE-2023-42824 to luka w jądrze, która może pozwolić atakującemu podnieść swoje uprawnienia na dotkniętych iPhone’ach i iPadach.

„Apple wie o raporcie mówiącym, iż problem ten mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż iOS 16.6” – stwierdziła firma.

Luka dotyczy następujących urządzeń:

  • iPhone XS i nowsze wersje,
  • iPad Pro 12,9 cala 2. generacji i nowsze,
  • Pad Pro 10,5 cala,
  • iPad Pro 11 cali 1. generacji i nowsze,
  • iPad Air 3. generacji i nowsze,
  • iPad 6. generacji i nowsze,
  • iPad mini 5. generacji i nowsze.

Firma zaradziła tej luce, wydając aktualizacje iOS 17.0.3 i iPadOS 17.0.3, obejmujące również CVE-2023-5217 – lukę w zabezpieczeniach związaną z przepełnieniem bufora w kodowaniu vp8 w bibliotece kodeków wideo libvpx, która może pozwolić na wykonanie dowolnego kodu.

Apple rozwiązało problem przepełnienia bufora, aktualizując bibliotekę libvpx 1.13.1.

Idź do oryginalnego materiału