Разработчики Apple обнародовали RSR-патчи, исправляющие новую уязвимость нулевого дня (CVE-2023-37450), которая застрагивает пользователей iPhone, Mac и iPad. В компании предупредили, что эта проблема, похоже, уже используется злоумышленникам.
Напомню, что новый формат обновлений Rapid Security Response (RSR), запущенный компаний весной текущего года, представляет собой небольшие «заплатки», которые исправляют проблемы безопасности между выходами плановых патчей. Также внеплановые патчи могут использоваться для противодействия уязвимостям, которые уже активно используются в атаках.
На этот раз RSR-патчи содержат исправления для 0-day уязвимости CVE-2023-37450, которую компании раскрыл анонимный ИБ-исследователь. Apple рекомендует всем пользователям установить эти обновления, а также предупреждает, что эта проблема, вероятно, уже активно применяется хакерам. Подробностей об этих атаках пока нет.
Сообщается, что уязвимость была обнаружена в движке WebKit. Она позволяет злоумышленникам выполнять произвольный код на целевых устройствах, если злоумышленнику удастся обманом заставить цель открыть страницу, содержащую вредоносный контент.
RSR-патчи были выпущены для macOS Ventura 13.4.1, iOS 16.5.1, iPadOS 16.5.1 и Safari 16.5.2.