Firma Apple wydała awaryjne aktualizacje zabezpieczeń, które łatają trzy nowe luki dnia zerowego wykorzystywane w atakach na użytkowników telefonów iPhone i komputerów Mac,
W silniku przeglądarki WebKit (CVE-2023-41993) i środowisku zabezpieczeń (CVE-2023-41991) wykryto dwa błędy, które umożliwiają atakującym ominięcie weryfikacji podpisu przy użyciu złośliwych aplikacji lub wykonanie dowolnego kodu za pośrednictwem złośliwie spreparowanych stron internetowych.
Trzeci został znaleziony w Kernel Framework, który zapewnia interfejsy API i obsługę rozszerzeń jądra oraz sterowników urządzeń rezydentnych w jądrze. Lokalni atakujący mogą wykorzystać tę lukę (CVE-2023-41992) w celu eskalacji uprawnień.
Firma Apple naprawiła trzy błędy dnia zerowego w systemach macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 i watchOS 9.6.3/10.0.1, rozwiązując problem z walidacją certyfikatu i usprawniając kontrole.
„Apple wie o raporcie mówiącym, iż ten problem mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż iOS 16.7” – ujawniła firma w poradnikach bezpieczeństwa opisujących luki w zabezpieczeniach.
Aktualizacje zabezpieczeń Apple
Produkt | Dostępne dla |
iOS 17.0.2 Ta aktualizacja nie zawiera opublikowanych wpisów CVE. | iPhone 15 (wszystkie modele) |
Safari 16.6.1 | macOS Big Sur i Monterey |
iOS 17.0.1 and iPadOS 17.0.1 | iPhone XS i nowsze, iPad Pro 12,9 cala 2. generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 6. generacji i nowsze oraz iPad mini 5. generacji i nowsze później |
iOS 16.7 and iPadOS 16.7 | iPhone 8 i nowsze, iPad Pro (wszystkie modele), iPad Air 3. generacji i nowsze, iPad 5. generacji i nowsze oraz iPad mini 5. generacji i nowsze |
watchOS 10.0.1 | Apple Watch Series 4 i nowsze |
watchOS 9.6.3 | Apple Watch Series 4 i nowsze |
macOS Ventura 13.6 | macOS Ventura |
macOS Monterey 12.7 | macOS Monterey |