Firma Apple publikuje aktualizacje zabezpieczeń dla swoich produktów.(P23-257)

cert.pse-online.pl 1 rok temu

Firma Apple wydała awaryjne aktualizacje zabezpieczeń, które łatają trzy nowe luki dnia zerowego wykorzystywane w atakach na użytkowników telefonów iPhone i komputerów Mac,

W silniku przeglądarki WebKit (CVE-2023-41993) i środowisku zabezpieczeń (CVE-2023-41991) wykryto dwa błędy, które umożliwiają atakującym ominięcie weryfikacji podpisu przy użyciu złośliwych aplikacji lub wykonanie dowolnego kodu za pośrednictwem złośliwie spreparowanych stron internetowych.

Trzeci został znaleziony w Kernel Framework, który zapewnia interfejsy API i obsługę rozszerzeń jądra oraz sterowników urządzeń rezydentnych w jądrze. Lokalni atakujący mogą wykorzystać tę lukę (CVE-2023-41992) w celu eskalacji uprawnień.

Firma Apple naprawiła trzy błędy dnia zerowego w systemach macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 i watchOS 9.6.3/10.0.1, rozwiązując problem z walidacją certyfikatu i usprawniając kontrole.

„Apple wie o raporcie mówiącym, iż ten problem mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż iOS 16.7” – ujawniła firma w poradnikach bezpieczeństwa opisujących luki w zabezpieczeniach.

Aktualizacje zabezpieczeń Apple

ProduktDostępne dla
iOS 17.0.2 Ta aktualizacja nie zawiera opublikowanych wpisów CVE.iPhone 15 (wszystkie modele)
Safari 16.6.1macOS Big Sur i Monterey
iOS 17.0.1 and iPadOS 17.0.1iPhone XS i nowsze, iPad Pro 12,9 cala 2. generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 6. generacji i nowsze oraz iPad mini 5. generacji i nowsze później
iOS 16.7 and iPadOS 16.7iPhone 8 i nowsze, iPad Pro (wszystkie modele), iPad Air 3. generacji i nowsze, iPad 5. generacji i nowsze oraz iPad mini 5. generacji i nowsze
watchOS 10.0.1Apple Watch Series 4 i nowsze
watchOS 9.6.3Apple Watch Series 4 i nowsze
macOS Ventura 13.6macOS Ventura
macOS Monterey 12.7macOS Monterey
Idź do oryginalnego materiału