Apple закрыла в iOS, iPadOS и macOS две дыры, фигурирующих в атаках

Apple выпустила обновления для систем iOS, iPadOS и macOS, а также браузера Safari. Разработчики пропатчили две уязвимости, которые уже активно используются в реальных кибератаках.

Обе бреши затрагивают браузерный движок WebKit и получили следующие идентификаторы:

• CVE-2023-42916 — проблема чтения за пределами границ, которую можно использовать для слива конфиденциальной информации при обработке веб-контента.
• CVE-2023-42917 — баг повреждения памяти, способный привести к выполнению произвольного кода при обработке веб-контента.

Описанные уязвимости обнаружил Клемент Лесинь из Google Threat Analysis Group (TAG). По словам Apple, корпорация в курсе эксплуатации дыр в атаках на версии iOS до 16.7.1.

Купертиновцы пока не раскрывают подробности этих кибератак, однако ранее подобные эксплойты использовались в шпионских кампаниях. Обратите внимание: любой сторонний браузер в iOS и iPadOS (включая Google Chrome, Mozilla Firefox и Microsoft Edge) работает на WebKit, поэтому манёвр у киберпреступников приличный.

Доступны следующие патчи:

• iOS 17.1.2 и iPadOS 17.1.2 — для iPhone XS и более поздних моделей, 12-дюймового iPad Pro и более поздних моделей, iPad Air третьего поколения и более поздних моделей и др.
• macOS Sonoma 14.1.2 — для «маков», работающих на macOS Sonoma.
• Safari 17.1.2 — для macOS Monterey и macOS Ventura.