Хакер #305. Многошаговые SQL-инъекции
Компания Apple выпустила внеплановые патчи для двух уязвимостей нулевого дня, уже используемых в атаках. Сообщается, что эти проблемы, обнаруженные в движке WebKit, затрагивают iPhone, iPad и Mac.
Обе ошибки были найдены специалистами Google Threat Analysis Group (TAG) в браузерном движке WebKit и получили идентификаторы CVE-2023-42916 и CVE-2023-42917.
Специалисты Apple предупреждают, что обе уязвимости уже подвергаются атаками и используются против iOS старше версии 16.7.1
Баги позволяют злоумышленникам получить доступ к конфиденциальной информации посредством out-of-bounds чтения, а также выполнять произвольный код через ошибку повреждения памяти (с помощью вредоносных веб-страниц).
Компания заявляет, что устранила обе уязвимости в составе iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 и Safari 17.1.2.
Список затронутых этими уязвимостями устройств Apple довольно широк и включает:
- iPhone XS и более поздние версии;
- 12,9-дюймовый iPad Pro 2-го поколения и новее, 10,5-дюймовый iPad Pro, 11-дюймовый iPad Pro первого поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-го поколения и новее;
- Mac под управлением macOS Monterey, Ventura, Sonoma.