Apple lansează actualizări de urgență pentru trei zero-day-uri

Apple a lansat actualizări de securitate pentru a remedia trei noi vulnerabilități de tip zero-day exploatate în atacuri ce au vizat utilizatorii de iPhone și Mac. Astfel, compania a ajuns la un total de 16 zero-day-uri remediate în acest an.

Două vulnerabilități au fost identificate în WebKit browser engine (CVE-2023-41993) și în framework-ul Security (CVE-2023-41991), permițând atacatorilor să ocolească validarea semnăturilor cu ajutorul aplicațiilor malițioase sau să obțină executarea arbitrară a codului prin intermediul unor pagini web malițioase.

Cel de-al treilea zero-day a fost descoperit în framework-ul Kernel, ce oferă API-uri și suport pentru extensiile kernelului și drivere pentru dispozitivele kernel-resident. Atacatorii locali pot exploata această vulnerabilitate (CVE-2023-41992) pentru a obține privilegii de administrare.

Compania a remediat cele trei vulnerabilități în versiunile macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 și watchOS 9.6.3/10.0.1 prin abordarea unei probleme privind validarea certificatelor și prin verificări îmbunătățite.

Dispozitivele vizate cuprind atât modele mai vechi, cât și modele mai noi:

• iPhone 8 și versiunile anterioare;
• iPad mini generația a 5-a și versiunile anterioare;
• Macs care rulează macOS Monterey și versiuni mai noi;
• Apple Watch seria a 4-a și versiuni anterioare.

Sursă: https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-in-attacks/