Xakep #305. Многошаговые SQL-инъекции
Компания Apple выпустила экстренные патчи для исправления сразу двух уязвимостей нулевого дня, которые уже использовались в атаках на системы Mac на базе Intel.
0-day были обнаружены в компонентах macOS Sequoia JavaScriptCore (CVE-2024-44308) и WebKit (CVE-2024-44309). Известно, что CVE-2024-44308 позволяет добиться удаленного выполнения кода при обработке вредоносного веб-контента, а CVE-2024-44309 позволяет осуществлять XSS-атаки с помощью вредоносного веб-контента.
Обе проблемы представляли угрозу только для систем Mac на базе Intel и были устранены в составе macOS Sequoia 15.1.1.
Поскольку те же уязвимые компоненты встречаются и в других ОС Apple, также патчи получили iOS 17.7.2 и iPadOS 17.7.2, iOS 18.1.1 и iPadOS 18.1.1, а также visionOS 2.1.1.
Apple сообщает, что оба недостатка были обнаружены экспертами Google Threat Analysis Group (TAG), но пока нет никаких подробностей о том, как и кем использовались эти уязвимости, и о каких именно атаках идет речь.
Теперь, с учетом этих уязвимостей, разработчики Apple устранили уже шесть 0-day багов в 2024 году.