Σήμερα, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) διέταξε τις ομοσπονδιακές υπηρεσίες να αντιμετωπίσουν τρία πρόσφατα διορθωμένα ελαττώματα μηδενικής ημέρας που επηρεάζουν τα iPhone, τα Mac και τα iPad που είναι γνωστό ότι τυγχάνουν εκμετάλλευσης σε επιθέσεις.
Τα σφάλματα ασφαλείας παρακολουθούνται ως CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373, όλα βρίσκονται στη μηχανή προγράμματος περιήγησης WebKit.
Επιτρέπουν στους εισβολείς να ξεφύγουν από το sandbox του προγράμματος περιήγησης, να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες της παραβιασμένης συσκευής και να επιτύχουν αυθαίρετη εκτέλεση κώδικα μετά από επιτυχή εκμετάλλευση.
«Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργή εκμετάλλευση», η εταιρεία είπε όταν περιγράφει τα ελαττώματα.
Οι τρεις zero days αντιμετωπίστηκαν στο macOS Ventura 13.4, iOS και iPadOS 16.5, tvOS 16.5, watchOS 9.5 και Safari 16.5 με βελτιωμένους ελέγχους ορίων, επικύρωση εισόδου και διαχείριση μνήμης.
Η πλήρης λίστα των συσκευών που επηρεάζονται είναι αρκετά εκτενής και περιλαμβάνει τα ακόλουθα:
- iPhone 6s (όλα τα μοντέλα), iPhone 7 (όλα τα μοντέλα), iPhone SE (1ης γενιάς), iPad Air 2, iPad mini (4ης γενιάς), iPod touch (7η γενιά) και iPhone 8 και μεταγενέστερα
- iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και μεταγενέστερη, iPad 5ης γενιάς και μεταγενέστερη, και iPad mini 5ης γενιάς και μεταγενέστερη
- Mac που τρέχουν macOS Big Sur, Monterey και Ventura
- Apple Watch Series 4 και νεότερη έκδοση
- Apple TV 4K (όλα τα μοντέλα) και Apple TV HD