Компания Apple выпустила экстренные патчи для устранения двух уязвимостей нулевого дня в iOS, которые уже использовались злоумышленниками в атаках.
Производитель представил ряд обновлений для своих ОС (iOS 17.4, iPadOS 17.4 и iOS 16.7.6), с релизом которых уязвимости были исправлены, и подтвердил факт эксплуатации багов краткой заметкой: «Apple известно о сообщениях, согласно которым эта проблема могла подвергаться эксплуатации».
Ошибки были обнаружены в ядре iOS (CVE-2024-23225) и в RTKit (CVE-2024-23296). Обе давали атакующим read/write права в ядре, позволяя обойти защиту.
Список затронутых этими уязвимостями устройств широк и включает в себя:
- iPhone XS и новее, iPhone 8, iPhone 8 Plus, iPhone X, iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го поколения;
- 12,9-дюймовый iPad Pro 2-го поколения и более новые, 10,5-дюймовый iPad Pro, 11-дюймовый iPad Pro 1-го поколения и более новые, iPad Air 3-го поколения и более новые, iPad 6-го поколения и более новые, а также iPad mini 5-го поколения и более новые.
Пока Apple не сообщает никаких подробностей ни о самих уязвимостях, ни об их эксплуатации. Также неизвестно, были ли 0-day обнаружены внутри компании, или о них сообщили сторонние эксперты.
С учетом двух этих проблем, Apple устранила уже три zero day в 2024 году. Первый 0-day баг был обнаружен и исправлен еще в январе.