Обновление безопасности Apple исправляет уязвимости нулевого дня Webkit
2 декабря 2023 г.Apple исправила две уязвимости нулевого дня, затрагивающие iOS, iPadOS и macOS; пользователям рекомендуется обновиться до iOS 17.1.2, iPadOS 17.1.2 и macOS 14.1.2. Уязвимости были обнаружены группой анализа угроз Google, которая на этой неделе также работала над исправлениями активных уязвимостей Chrome.
Перейти к:
- Что это за уязвимости в ОС Apple?
Исправление и защита от эксплойтов WebKit
Напряженная неделя для группы анализа угроз Google
Что это за уязвимости в ОС Apple?
«Apple известно о сообщении о том, что эта проблема могла быть использована в версиях iOS до iOS 16.7.1», — говорится в сообщении Apple об обновлениях безопасности от 30 ноября. Это означает, что злоумышленники могут активно использовать уязвимости.
В обновлении Apple говорится, что проблема возникла в WebKit, движке, используемом в браузерах Apple, где «обработка веб-контента может привести к выполнению произвольного кода». Обновления исправляют чтение за пределами допустимого диапазона посредством улучшенной проверки ввода и устраняют уязвимость повреждения памяти с помощью улучшенной блокировки.
SEE: В прошлом году злоумышленники начали подслушивающие атаки на устройства Apple. (Техреспублик)
Первая уязвимость, чтение за пределами границ, отслеживается как CVE-2023-42916. Обновление, касающееся этой проблемы, доступно для:
- iPhone XS и новее.
iPad Pro 12,9 дюйма 2-го поколения и новее.
iPad Pro 10,5 дюймов.
iPad Pro 11 дюймов 1-го поколения и новее.
iPad Air 3-го поколения и новее.
iPad 6-го поколения и новее.
iPad mini 5-го поколения и новее.
Вторая уязвимость — повреждение памяти — отслеживается как CVE-2023-42917. Обновление, касающееся этой проблемы, доступно для:
- iPhone XS и новее.
iPad Pro 12,9 дюйма 2-го поколения и новее.
iPad Pro 10,5 дюймов.
iPad Pro 11 дюймов 1-го поколения и новее.
iPad Air 3-го поколения и новее.
iPad 6-го поколения и новее.
iPad mini 5-го поколения и новее.
Информация об уязвимостях скудна, и, по словам Apple, их исследовал Клеман Лесинь из группы анализа угроз Google; Заявленная миссия группы — «противодействие атакам, поддерживаемым правительством».
Исправление и защита от эксплойтов WebKit
Пользователи Apple должны быть уверены, что они используют последнюю версию своей операционной системы, как в целях общей безопасности, так и в случае активных уязвимостей, подобных этой. Apple предоставила полный список самых последних обновлений программного обеспечения.
Напряженная неделя для группы анализа угроз Google
Ранее на этой неделе группа анализа угроз Google также обнаружила и исправила выход за пределы доступа к памяти и шесть других уязвимостей в Google Chrome. 28 ноября Google анонсировала обновление Chrome, в котором будут устранены следующие проблемы:
- Введите «путаница» в разделе «Проверка орфографии».
Используйте после бесплатного в Mojo.
Используйте после бесплатного использования в WebAudio.
Доступ за пределы памяти в libavif.
Используйте после free в libavif.
Целочисленное переполнение в Skia.
«Мы также хотели бы поблагодарить всех исследователей безопасности, которые работали с нами в течение цикла разработки, чтобы предотвратить попадание ошибок безопасности в стабильный канал», — написала команда Chrome в сообщении об обновлении безопасности.
TechRepublic связалась с Apple и Google, чтобы получить комментарии по поводу этой истории. Apple отослала нас к примечаниям к выпуску безопасности; Google не ответил на момент публикации.
Оригинал