Компания Apple выпустила патчи для первой в этом году 0-day уязвимости, которую хакеры уже использовали в атаках. Проблема затрагивает iPhone, Mac и Apple TV.
Проблема получила идентификатор CVE-2024-23222 и была устранена в iOS, macOS, tvOS и Safari. Уязвимость была обнаружили в движке WebKit, и злоумышленники могут использовать ее для произвольного выполнения кода на целевых устройствах.
Apple предупредила, что успешная эксплуатация бага позволяет выполнить произвольный вредоносный код на устройствах под управлением уязвимых версий iOS, macOS и tvOS после открытия вредоносной веб-страницы.
«Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно о сообщениях о возможной эксплуатации этой проблемы», — сообщает компания.
Хотя бюллетень безопасности гласит, что Apple известно о случаях эксплуатации этой уязвимости, специалисты пока не опубликовали никакой информации об атаках.
Apple устранила CVE-2024-23222 в составе iOS 16.7.5 и выше, iPadOS 16.7.5 и выше, macOS Monterey 12.7.3 и выше, а также в tvOS 17.3 и выше. Полный список устройств, уязвимых перед свежей 0-day, включает следующие устройства:
- iPhone 8, iPhone 8 Plus, iPhone X, iPad 5-го поколения, iPad Pro 9,7-дюймов и iPad Pro 12,9-дюймов 1-го поколения;
- iPhone XS и новее, 12,9-дюймовый iPad Pro 2-го поколения и новее, 10,5-дюймовый iPad Pro, 11-дюймовый iPad Pro 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее;
- компьютеры Mac под управлением macOS Monterey и более поздних версий;
- Apple TV HD и Apple TV 4K (все модели).
Также вместе с исправлением CVE-2024-23222 Apple портировала на старые модели iPhone и iPad исправления для двух других уязвимостей нулевого дня в WebKit (CVE-2023-42916 и CVE-2023-42917), изначально устраненных еще в ноябре прошлого года.
