Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας για τις ενημερώσεις κώδικα backport που κυκλοφόρησαν τον περασμένο μήνα, αντιμετωπίζοντας ένα ενεργό σφάλμα zero-day για παλαιότερα iPhone και iPad.
Η ευπάθεια (CVE-2023-23529) είναι ένα πρόβλημα σύγχυσης τύπου WebKit που η εταιρεία διόρθωσε σε νεότερες συσκευές iPhone και iPad στις 13 Φεβρουαρίου 2023.
Οι πιθανοί εισβολείς μπορούν να το χρησιμοποιήσουν για να πυροδοτήσουν σφάλματα του λειτουργικού συστήματος και να κερδίσουν την εκτέλεση κώδικα σε παραβιασμένες συσκευές iOS και iPadOS μετά από επιτυχή εκμετάλλευση.
Οι φορείς απειλών μπορούν στη συνέχεια να εκτελέσουν αυθαίρετο κώδικα στα στοχευμένα iPhone και iPad αφού εξαπατήσουν τα θύματα να ανοίξουν κακόβουλες ιστοσελίδες (αυτό το σφάλμα επηρεάζει επίσης Safari 16.3.1 σε macOS Big Sur και Monterey).
“Η επεξεργασία κακόβουλα δημιουργημένου περιεχομένου ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα. Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργή εκμετάλλευση”, περιγράφει η Apple το zero-day. “Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργή εκμετάλλευση.”
Η Apple έχει επίσης αντιμετωπίσει το zero-day στο iOS 15.7.4 και το iPadOS 15.7.4 σήμερα με βελτιωμένους ελέγχους.
Η λίστα των επηρεαζόμενων συσκευών περιλαμβάνει iPhone 6s (όλα τα μοντέλα), iPhone 7 (όλα τα μοντέλα), iPhone SE (1ης γενιάς), iPad Air 2, iPad mini (4ης γενιάς) και iPod touch (7ης γενιάς).