Разработчики Apple подготовили патчи для уязвимости нулевого дня (CVE-2023-23529), которая уже используется хакерами в атаках на устройства iPhone, iPad и Mac. Изначально проблема была обнаружена и исправлена еще в прошлом месяце, но теперь патчи получили и более старые iPhone и iPad.
CVE-2023-23529 стала первым в этом году 0-day в продуктах Apple. Уязвимость представляет собой проблему type confusion в движке WebKit. Известно, что ее можно использовать для провоцирования сбоев и выполнения произвольного кода на скомпрометированных устройствах. То есть злоумышленник может выполнить произвольный код на устройствах с уязвимыми версиями iOS, iPadOS и macOS, если жертва посетит вредоносную веб-страницу (баг затрагивает Safari 16.3.1 в macOS Big Sur и Monterey).
Полный список затронутых проблемой устройств довольно велик, так как ошибка затрагивает как старые, так и новые модели устройств, включая:
- iPhone 8 и новее;
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее;
- компьютеры Mac под управлением macOS Ventura.
В прошлом месяце CVE-2023-23529 уже устранили в составе iOS 16.3.1, iPadOS 16.3.1 и macOS Ventura 13.2.1, а теперь Apple подготовила патчи для более старых устройств и решила проблему в iOS 15.7.4 и iPadOS 15.7.4, улучшив проверки.
Теперь обновление доступно для iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Air 2, iPad mini (4-го поколения) и iPod touch (7-е поколение).
Хотя еще месяц назад компания сообщала, что ей известно об эксплуатации этого бага в целевых атаках, она до сих пор не раскрыла никаких деталей этих инцидентов. Судя по всему, специалисты Apple хотят дать пользователям как можно больше времени на установку обновлений, пока другие злоумышленники еще не знают деталей этого 0-day и не создали собственные эксплоиты, нацеленные на iPhone, iPad и Mac.