Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας έκτακτης ανάγκης για να αντιμετωπίσει μια νέα ευπάθεια zero-day που χρησιμοποιείται σε επιθέσεις για χακάρισμα iPhone, iPad και Mac.
Το zero-day που επιδιορθώθηκε σήμερα παρακολουθείται ως CVE-2023-23529 και είναι ένα ζήτημα σύγχυσης του WebKit που θα μπορούσε να χρησιμοποιηθεί για την ενεργοποίηση σφαλμάτων του λειτουργικού συστήματος και την απόκτηση εκτέλεσης κώδικα σε παραβιασμένες συσκευές.
Η επιτυχής εκμετάλλευση επιτρέπει στους εισβολείς να εκτελούν αυθαίρετο κώδικα σε συσκευές που εκτελούν ευάλωτες εκδόσεις iOS, iPadOS και macOS μετά το άνοιγμα μιας κακόβουλης ιστοσελίδας (το σφάλμα επηρεάζει επίσης το Safari 16.3.1 σε macOS Big Sur και Monterey).
“Η επεξεργασία κακόβουλα δημιουργημένου περιεχομένου ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα. Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργή εκμετάλλευση”, δήλωσε η Apple όταν περιέγραψε την ημέρα μηδέν.
«Θα θέλαμε να ευχαριστήσουμε το Citizen Lab στο Munk School του Πανεπιστημίου του Τορόντο για τη βοήθειά τους».
Η Apple διευθέτησε το CVE-2023-23529 με βελτιωμένους ελέγχους σε iOS 16.3.1, iPadOS 16.3.1 και macOS Ventura 13.2.1.
Η πλήρης λίστα των συσκευών που επηρεάζονται είναι αρκετά εκτενής, καθώς το σφάλμα επηρεάζει παλαιότερα και νεότερα μοντέλα και περιλαμβάνει:
- iPhone 8 και μεταγενέστερα
- iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και μεταγενέστερα
- Mac που τρέχουν macOS Ventura
Σήμερα, η Apple επιδιορθώνει επίσης μια χρήση πυρήνα μετά από δωρεάν ελάττωμα (CVE-2023-23514) που αναφέρθηκε από τον Xinru Chi του Pangu Lab και τον Ned Williamson του Google Project Zero, το οποίο θα μπορούσε να οδηγήσει σε αυθαίρετο κώδικα με δικαιώματα πυρήνα σε Mac και iPhone.