Apple исправляет еще три уязвимости нулевого дня

В экстренном обновлении безопасности Apple выявила три уязвимости нулевого дня затрагивает продукты iPhone и Mac, которые активно эксплуатируются.

Одна уязвимость, отслеживаемая как CVE-2023-41992— это уязвимость, обнаруженная в Kernel Framework, которую злоумышленники могут использовать для повышения привилегий. Две другие уязвимости, отслеживаемые как CVE-2023-41993 и CVE-2023-41991. находятся в движке браузера WebKit и Security Framework соответственно. Согласно рекомендациям Apple, злоумышленники получают возможность потенциально «обходить проверку подписи», а также «получать выполнение произвольного кода через вредоносно созданные веб-страницы», если они воспользуются этими уязвимостями.

Устройства, на которые влияют эти нулевые дни, различаются между старыми и более поздними моделями продуктов Apple, включая iPhone 8 и новее; iPad mini 5-го поколения и новее; любой Mac под управлением macOS Monterey или более поздней версии; и Apple Watch Series 4 и новее.

Эти проблемы были исправлены в iOS 16.7, iPadOS 16.7, OS 17.0.1, iPadOS 17.0.1 и Safari 16.6.1 и были устранены. впервые обнаружил и сообщил Билл Марчак из Citizen Lab и Мэдди Стоун из группы анализа угроз Google. Citizen Lab обычно отслеживает случаи шпионского ПО, но пока нет подробностей о природе эксплойтов или атак. 

Apple известно об сообщении о том, что эта проблема могла активно эксплуатироваться в версиях iOS до iOS 16.7», — заявила Национальная база данных уязвимостей, хотя степень их использования неизвестна.