Apple je uveo sigurnosna ažuriranja za iOS, iPadOS, macOS, tvOS, watchOS i Safari kako bi riješio nekoliko sigurnosnih propusta, uključujući jednu aktivno iskorištavanu grešku Zero-Day u praksi.
Praćen kao CVE-2023-38606, nedostatak se nalazi u kernelu i dozvoljava malicioznoj aplikaciji da potencijalno modifikuje osjetljivo stanje kernela. Kompanija je rekla da je to riješeno poboljšanim državnim upravljanjem.
“Apple je svjestan izvještaja da je ovaj problem možda bio aktivno iskorištavan protiv verzija iOS-a objavljenih prije iOS-a 15.7.1” naveo je tehnološki gigant u svom savjetu.
Vrijedi napomenuti da je CVE-2023-38606 treća sigurnosna ranjivost otkrivena u vezi s operacijom Triangulation, sofistikovanom kampanjom kibernetičke špijunaže koja cilja iOS uređaje od 2019. godine koristeći lanac eksploatacije bez klikova. Druga dva Zero-Day, CVE-2023-32434 i CVE-2023-32435, Apple je zakrpio prošlog mjeseca.
Istraživači kompanije Kaspersky Valentin Paškov, Mihail Vinogradov, Georgij Kučerin, Leonid Bezveršenko i Boris Larin zaslužni su za otkrivanje i prijavu greške.
Ažuriranja su dostupna za sljedeće uređaje i operativne sisteme:
- iOS 16.6 i iPadOS 16.6 – iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji i iPad mini 5. generacija i noviji
- iOS 15.7.8 i iPadOS 15.7.8 – iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacija), iPad Air 2, iPad mini (4. generacija) i iPod touch (7. generacija)
- macOS Ventura 13.5, macOS Monterey 12.6.8 i macOS Big Sur 11.7.9
- tvOS 16.6 – Apple TV 4K (svi modeli) i Apple TV HD, i
- watchOS 9.6 – Apple Watch Series 4 i noviji
Sa posljednjom fazom zakrpa, Apple je riješio ukupno 11 Zero-Day koji su uticali na njegov softver od početka 2023. godine. To takođe dolazi dvije sedmice nakon što je kompanija objavila hitne ispravke za grešku u daljinskom izvršavanju koda u WebKit-u koja bi mogla dovesti do proizvoljnog izvršavanja koda (CVE-2023-37450).
Izvor: The Hacker News
