Apple lansează o actualizare urgentă pentru un nou zero-day

Apple a lansat actualizări de securitate urgente pentru a remedia un nou zero-day exploatat în atacuri ce vizează utilizatorii de iPhone și iPad.

Vulnerabilitatea ar putea fi exploatată în mod activ pentru versiunile de iOS anterioare iOS 16.6.

CVE-2023-42824 este cauzată de o altă vulnerabilitate descoperită în nucleul XNU care ar putea permite atacatorilor locali să escaladeze privilegiile pe iPhone și iPad-uri care nu au fost actualizate.

Apple a declarat că a remediat vulnerabilitatea de tip zero-day în versiunile iOS 17.0.3 și iPadOS 17.0.3 cu verificări îmbunătățite.

Lista dispozitivelor afectate include:

• iPhone XS și versiunile ulterioare
• iPad Pro de 12,9-inch generația a 2-a și ulterioară, iPad Pro de 10,5-inch, iPad Pro de 11-inch prima generație și ulterioară, iPad Air generația a 3-a și ulterioară, iPad generația a 6-a și ulterioară și iPad mini generația a 5-a și ulterioară.

Apple a remediat, de asemenea, o vulnerabilitate zero-day, CVE-2023-5217, de tip heap buffer overflow în VP8 encoding din bibloteca de codecuri video open-source libvpx, ce ar putea permite executarea de cod arbitrar în urma exploatării.

CVE-2023-42824 este cea de-a 17-a vulnerabilitate de tip zero-day exploatată în atacuri pe care Apple a remediat-o de la începutul anului.

Versiunea de astăzi a iOS 17.0.3 remediază, de asemenea, o problemă care provoca supraîncălzirea iPhone-urilor care rulează iOS 17.0.2 și versiunile anterioare.

Sursă: https://www.bleepingcomputer.com/news/apple/apple-emergency-update-fixes-new-zero-day-used-to-hack-iphones/