Apple dezvăluie două noi zero-day-uri în cadrul iPhone-urilor și Mac-urilor

Apple a lansat actualizări de securitate pentru a remedia două noi vulnerabilități de tip zero-day exploatate în atacuri care au vizat utilizatorii de iPhone și Mac, ajungând la un total de 13 vulnerabilități de tip zero-day exploatate și remediate de la începutul anului.

Vulnerabilitățile au fost identificate în Image I/O and Wallet frameworks și sunt urmărite ca CVE-2023-41064 (descoperită de specialiștii în securitate Citizen Lab) și CVE-2023-41061 (descoperită de Apple).

De asemenea, vulnerabilitățile au fost utilizate în trecut în cadrul unui lanț de exploatare de tip zero-click iMessage numit BLASTPASS, folosit pentru a implementa spyware-ul Pegasus al NSO Group pe iPhone-uri complet actualizate (care rulează iOS (16.6) prin intermediul atașamentelor PassKit care conțin imagini malițioase.

CVE-2023-41064 este o vulnerabilitate de tip buffer overflow care este realizată la procesarea imaginilor malițioase și care poate duce la executarea de cod arbitrar pe dispozitive neactualizate.

CVE-2023-41061 este o vulnerabilitate de validare ce poate fi exploatată cu ajutorul unui atașament malițios pentru a obține, de asemenea, executarea arbitrară de cod pe dispozitivele vizate.

Apple a remediat zero-day-urile în versiunile macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 și watchOS 9.6.2 și au fost îmbunătățite logica și gestionarea memoriei.

Lista dispozitivelor vizate include:

• iPhone 8 și versiunile ulterioare;
• iPad Pro (toate modelele), iPad Air de generația a 3-a și ulterioare, iPad de generația a 5-a și ulterioare și iPad mini de generația a 5-a și ulterioare;
• Mac-uri care rulează macOS Ventura;
• Apple Watch Series 4 și versiunile ulterioare.

De la începutul anului, compania Apple a remediat 13 vulnerabilități de tip zero-day exploatate în atacurile ce vizează dispozitivele care rulează iOS, macOS, iPadOS și watchOS.

În luna iulie, Apple a lansat actualizări de tip out-of-band Rapid Security Response (RSR) pentru a remedia o vulnerabilitate (CVE-2023-37450) care afectează iPhone-urile, Mac-urile și iPad-urile complet actualizate.

Au mai fost remediate de asemenea următoarele vulnerabilități:

• 2 zero-day (CVE-2023-37450 și CVE-2023-38606) în luna iulie;
• 3 zero-day (CVE-2023-32434, CVE-2023-32435 și CVE-2023-32439) în luna iunie;
• 3 zero-day (CVE-2023-32409, CVE-2023-28204 și CVE-2023-32373) în luna mai;
• 2 zero-day (CVE-2023-28206 and CVE-2023-28205) în luna aprilie;
• Un WebKit zero-day (CVE-2023-23529) în luna februarie.

Sursă: https://www.bleepingcomputer.com/news/apple/apple-discloses-2-new-zero-days-exploited-to-attack-iphones-macs/