Разом з випуском iOS 16.5.1, macOS 13.4.1 та інших оновлень компанія Apple випустила два важливих виправлення недоліків у системі безпеки. Оновлення доступні для пристроїв на новітньому загальнодоступному програмному забезпеченні та на старіших версіях програмного забезпечення. Зокрема, компанія Apple отримала інформацію про те, що ці недоліки активно експлуатуються.
Основною функцією, що стосується користувачів, в iOS 16.5.1 є виправлення помилки в адаптері Lightning до USB-камери.
Однак майже для всіх пристроїв Apple, включаючи iPhone 6s і новіші моделі, сучасні iPad і Mac, і навіть Apple Watch, є два важливих виправлення безпеки, які постачаються з останніми оновленнями.
Дві латки для експлуатованих вразливостей у безпеці
Перший патч усуває вразливість, яка дозволяє виконувати довільний код з привілеями ядра. Другий – це виправлення вразливості WebKit, яке не дозволяє зловмисникам виконувати довільний код у зловмисно створеному веб-контенті.
Apple заявляє, що їй відомо про повідомлення про те, що обидві вразливості активно використовуються, тому переконайтеся, що ви оновили свої пристрої якомога швидше.
Ось детальніша інформація:
Kernel
Доступно для: iPhone 8 і новіших версій, iPad Pro (всі моделі), iPad Air 3-го покоління і новіших версій, iPad 5-го покоління і новіших версій, iPad mini 5-го покоління і новіших версій
Вплив: Програма може виконувати довільний код з привілеями ядра. Apple відомо про повідомлення про те, що ця проблема могла активно використовуватися у версіях iOS, випущених до iOS 15.7.
Опис: Цілочисельне переповнення виправлено за допомогою покращеної перевірки вводу.
CVE-2023-32434: Георгій Кучерін (@kucher1n), Леонід Безвершенко (@bzvr_) та Борис Ларін (@oct0xor) з Kaspersky
WebKit
Доступно для: iPhone 8 і новіших версій, iPad Pro (всі моделі), iPad Air 3-го покоління і новіших версій, iPad 5-го покоління і новіших версій, iPad mini 5-го покоління і новіших версій
Вплив: Обробка зловмисно створеного веб-вмісту може призвести до довільного виконання коду. Компанії Apple відомо про повідомлення про те, що ця проблема могла активно використовуватися.
Опис: Вирішено проблему плутанини типів за допомогою покращених перевірок.
WebKit Bugzilla: 256567
CVE-2023-32439: анонімний дослідник
