В четвъртък Apple пусна множество актуализации, които носят няколко нови функции на iPhone и Mac. Но много по-важното е, че актуализациите включват три критични корекции за нулев ден за уязвимости в сигурността, за които е известно, че са били активно използвани. Най-тревожният от грешките позволява на хакер да получи достъп до лични данни и да превземе вашето устройство чрез злонамерено приложение.
Недостатъците на WebKit обхващат семейството устройства на Apple и са коригирани в iOS 16.5, iPadOS 16.5, watchOS 9.5, macOS 13.4 и tvOS 16.5, но също така и в iOS/iPadOS 15.7.6, macOS Monterey 12.6.6 и macOS Big Sur 11.7. 7, както и Safari 16.5. Всички актуализации включват същите пет корекции на WebKit, като за три от тях е известно, че са били използвани:
WebKit
- Въздействие: Обработката на уеб съдържание може да разкрие чувствителна информация
- Описание: Четене извън границите беше адресирано с подобрено валидиране на входа.
- WebKit Bugzilla: 255075
CVE-2023-32402: анонимен изследовател
WebKit
- Въздействие: Обработката на уеб съдържание може да разкрие чувствителна информация
- Описание: Проблем с препълване на буфера беше адресиран с подобрена обработка на паметта.
- WebKit Bugzilla: 254781
CVE-2023-32423: Игнасио Санмилан (@ulexec)
WebKit
- Въздействие: Отдалечен нападател може да успее да пробие пясъчната среда на уеб съдържание. Apple е наясно с доклад, че този проблем може да е бил активно използван.
- Описание: Проблемът беше решен с подобрени проверки на границите.
- WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne от групата за анализ на заплахите на Google и Donncha Ó Cearbhaill от лабораторията за сигурност на Amnesty International
WebKit
- Въздействие: Обработката на уеб съдържание може да разкрие чувствителна информация. Apple е наясно с доклад, че този проблем може да е бил активно използван.
- Описание: Четене извън границите беше адресирано с подобрено валидиране на входа.
- WebKit Bugzilla: 254930
CVE-2023-28204: анонимен изследовател
WebKit
- Въздействие: Обработката на злонамерено създадено уеб съдържание може да доведе до произволно изпълнение на код. Apple е наясно с доклад, че този проблем може да е бил активно използван.
- Описание: Проблемът с използването след освобождаване беше разрешен с подобрено управление на паметта.
- WebKit Bugzilla: 254840
CVE-2023-32373: анонимен изследовател
Два от трите недостатъка на нулевия ден, CVE-2023-28204 и CVE-2023-32373, бяха коригирани преди това като част от първите актуализации на Apple за бърз отговор на сигурността за iOS и iPadOS (16.4.1 (a)) и macOS Ventura (13.3. 1 (а)).
За да актуализирате своя iPhone или iPad, след това отидете в приложението Настройки Общ и Актуализация на софтуера. На Mac отидете на Системни настройки, след това Общи и Актуализация на софтуера; на Macs преди Ventura, след това намерете приложението System Preferences Актуализация на софтуера.
Източник: www.macworld.com