Компания Apple выпустила экстренные патчи, чтобы исправить очередную уязвимость нулевого дня, которая уже использовалась в атаках на пользователей iPhone и iPad.
Проблема была обнаружена в ядре XNU и получила идентификатор CVE-2023-42824. Сообщается, что она могла использоваться локальным злоумышленником для повышения привилегий на необновленных iPhone и iPad.
Разработчики Apple устранили эту проблему с релизом iOS 17.0.3 и iPadOS 17.0.3 с помощью улучшенных проверок, однако в компании пока не сообщают, кто сообщил об этой уязвимости и не раскрывают никаких технических подробностей.
В число затронутых CVE-2023-42824 устройств входят:
- iPhone XS и новее;
- iPad Pro с диагональю 12,9 дюйма 2-го поколения и новее, iPad Pro с диагональю 10,5 дюйма, iPad Pro с диагональю 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее.
В компании подчеркивают, что проблема уже могла активно использоваться против пользователей iOS (до версии 16.6).
Также инженеры Apple исправили и другую уязвимость нулевого дня, CVE-2023-5217, о которой мы уже рассказывали ранее. Эта проблема связана с переполнением буфера хипа VP8 опенсорсной библиотеке видеокодеков libvpx. Последствия эксплуатации этого бага могут варьироваться от сбоев в работе приложений до выполнения произвольного кода в системе жертвы.
Ранее уязвимость libvpx уже была устранена в Google в браузере Chrome, а также Microsoft в составе таких продуктов как Edge, Teams и Skype.
Таким образом, суммарно компания Apple уже устранила 17 уязвимостей нулевого дня в своих продуктах в 2023 году.