Компания Apple выпустила экстренные патчи для исправления трех новых уязвимостей нулевого дня, которые уже использовались в атаках на пользователей iPhone и Mac. Таким образом, в 2023 году в продуктах Apple была устранено уже 16 0-day уязвимостей.
Сообщается, что все проблемы обнаружены экспертами из Citizen Lab и Google Threat Analysis Group. Одна проблема была найдена в браузерном движке WebKit (CVE-2023-41993), а другая в составе Security Framework (CVE-2023-41991), что позволяло злоумышленникам обходить проверку подписи с помощью вредоносных приложений, а также выполнять произвольный код через специально подготовленные вредоносные веб-страницы.
Третья уязвимость (CVE-2023-41992) найдена в коде Kernel Framework, который предоставляет API, а также поддержку расширений ядра и kernel-resident драйверов устройств. Локальные злоумышленники могли использовать этот баг для повышения привилегий.
Apple исправила перечисленные ошибки в macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 и watchOS 9.6.3/10.0.1, и предупредила, что уязвимости могли подвергаться активной эксплуатации в iOS старше версии 16.7.
Уязвимости представляли угрозу для следующих устройств:
- iPhone 8 и новее;
- iPad mini 5-го поколения и новее;
- Mac под управлением macOS Monterey и новее;
- Apple Watch Series 4 и новее.
Хотя пока компания Apple не публикует никакой дополнительной информации об эксплуатации этих уязвимостей, аналитики Citizen Lab и Google Threat Analysis Group часто сообщают о 0-day багах, которые используются шпионским ПО в таргетированных атаках, направленных на журналистов, оппозиционеров и диссидентов в разных странах мира.
К примеру, ранее в этом месяце исследователи Citizen Lab предупреждали, что другие 0-day уязвимости в продуктах Apple являлись частью цепочки zero-click эксплоитов для iMessage, которая получила название BLASTPASS. Известно, что эти эксплоиты применялись для развертывания шпионского ПО Pegasus на полностью пропатченных iPhone.