Apple je u četvrtak uveo sigurnosna ažuriranja za iOS, iPadOS, macOS, tvOS, watchOS i Safari web pretraživač kako bi riješio tri nova Zero Day propusta za koje kaže da se aktivno iskorištavaju u praksi.
Tri bezbjednosna nedostatka su navedena u nastavku:
- CVE-2023-32409 – Greška WebKit-a koju bi haker mogao iskoristiti da se probije iz zaštićenog okruženja web sadržaja. To je riješeno poboljšanim provjerama granica.
- CVE-2023-28204 – Problem čitanja izvan granica u WebKit-u koji bi se mogao zloupotrebiti za otkrivanje osjetljivih informacija prilikom obrade web sadržaja. To je riješeno poboljšanom validacijom unosa.
- CVE-2023-32373 – Greška u WebKit-u koja može dovesti do proizvoljnog izvršavanja koda prilikom obrade maliciozno kreiranog web sadržaja. To je riješeno poboljšanim upravljanjem memorijom.
Proizvođač iPhonea je za prijavu CVE-2023-32409 zahvalan Clémentu Lecigneu iz Google-ove grupe za analizu prijetnji (TAG) i Donnchi Ó Cearbhaill iz Laboratorije za sigurnost Amnesty International-a. Anonimni istraživač je dobio priznanje za prijavljivanje druga dva problema.ž
Vrijedi napomenuti da su i CVE-2023-28204 i CVE-2023-32373 zakrpljeni kao dio ažuriranja Rapid Security Response-a, iOS 16.4.1 (a) i iPadOS 16.4.1 (a), koje je kompanija objavila na početku mjeseca.
Trenutno nema dodatnih tehničkih detalja o nedostacima, prirodi napada ili identitetu hakera koji ih mogu iskorištavati.
Međutim, takve slabosti su se istorijski koristile kao dio visoko ciljanih upada za postavljanje špijunskog softvera najamnika na uređaje disidenata, novinara i aktivista za ljudska prava, između ostalih.
Najnovija ažuriranja su dostupna za sljedeće uređaje i operativne sisteme:
- iOS 16.5 i iPadOS 16.5 – iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji i iPad mini 5. generacija i noviji
- iOS 15.7.6 i iPadOS 15.7.6 – iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacija), iPad Air 2, iPad mini (4. generacija) i iPod touch (7. generacija)
- macOS Ventura 13.4 – macOS Ventura
- tvOS 16.5 – Apple TV 4K (svi modeli) i Apple TV HD
- watchOS 9.5 – Apple Watch Series 4 i novije verzije
- Safari 16.5 – macOS Big Sur i macOS Monterey
Apple je do sada otklonio ukupno šest aktivno Zero Day eksploatisanih grešaka od početka 2023. godine. Tokom februara, kompanija je uklonila grešku WebKit-a (CVE-2023-23529) koja bi mogla dovesti do izvršavanja koda na daljinu.
Zatim je prošlog mjeseca isporučila popravke za par ranjivosti (CVE-2023-28205 i CVE-2023-28206) koje su omogućavale izvršavanje koda s povišenim privilegijama. Lecigne i Ó Cearbhaill su zaslužni za prijavljivanje sigurnosnih nedostataka.
Izvor: The Hacker News