Apple исправляет две уязвимости безопасности, которые активно эксплуатируются, в iOS 16.5.1 и других обновлениях

Michael Potuck | Среда, 21 июня, 2023, 10:33.

Avatar for Michael Potuck
 | 21 июня 2023 г. — 10:37 PT
check passwords and improve security

Вместе с выпуском iOS 16.5.1, macOS 13.4.1 и других обновлений сегодня Apple выпустила два важных исправления для уязвимостей безопасности. Обновления доступны для устройств с последними общедоступными версиями программного обеспечения и для тех, кто использует более старые версии. Примечательно, что Apple осведомлена об активной эксплуатации этих уязвимостей.

Основная функция, ориентированная на пользователя, в iOS 16.5.1 — исправление ошибки с адаптером Lightning — USB.

Однако почти для всех устройств Apple, включая iPhone 6s и новее, современные iPad и Mac, а также Apple Watch, есть два важных патча безопасности, которые поставляются с последними обновлениями.

Два патча для уязвимостей безопасности, которые активно эксплуатируются

Первый патч исправляет уязвимость, позволяющую выполнять произвольный код с правами ядра. Второй — исправление уязвимости WebKit, которое предотвращает выполнение произвольного кода с помощью специально созданного веб-контента.

Apple заявляет, что осведомлена о сообщениях об активной эксплуатации обеих уязвимостей, поэтому убедитесь, что вы обновите свои устройства как можно скорее.

Вот подробности:

Ядро (Kernel)

Доступно для: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее

Воздействие: Приложение может выполнять произвольный код с правами ядра. Apple осведомлена о сообщении, что эта проблема могла активно эксплуатироваться против версий iOS, выпущенных до iOS 15.7.

Описание: Переполнение целого числа было устранено благодаря улучшенной проверке входных данных.

CVE-2023-32434: Георгий Кучерин (@kucher1n), Леонид Верженченко (@bzvr_) и Борис Ларин (@oct0xor) из Kaspersky

WebKit

Доступно для: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее

Воздействие: Обработка специально созданного веб-контента может привести к выполнению произвольного кода. Apple осведомлена о сообщении, что эта проблема могла активно эксплуатироваться.

Описание: Проблема смещения типов была устранена благодаря улучшенным проверкам.

WebKit Bugzilla: 256567
CVE-2023-32439: анонимный исследователь