“Apple” išleido naujus skubius saugumo atnaujinimus, kuriais ištaisomos dvi naujos nulinės dienos pažeidžiamosios vietos, kurios, kaip žinoma, naudojamos atakose. “Apple” žino apie pranešimą, kad ši problema galėjo būti aktyviai išnaudojama prieš “iOS” versijas iki “iOS 16.6”, – teigiama išleistame bendrovės pranešime.
Pirmąją nulinės dienos problemą (CVE-2023-42824) sukelia XNU branduolyje aptikta silpnoji vieta, leidžianti vietiniams įsilaužėliams padidinti privilegijas neapsaugotuose “iPhone” ir “iPad” telefonuose.
Nors “Apple” teigė, kad “iOS 17.0.3” ir “iPadOS 17.0.3” patobulintomis patikromis išsprendė šią saugumo problemą, ji dar neatskleidė, kas rado ir pranešė apie šią spragą.
Paveiktų prietaisų sąrašas yra gana platus ir apima:
“iPhone XS” ir vėlesni
12,9 colių 2 kartos ir vėlesni “iPad Pro”, 10,5 colių “iPad Pro”, 11 colių 1 kartos ir vėlesni “iPad Pro”, 3 kartos ir vėlesni “iPad Air”, 6 kartos ir vėlesni “iPad”, 5 kartos ir vėlesni “iPad mini”.
“Apple” taip pat išsprendė klaidos, pažymėtos kaip CVE-2023-5217 ir atsiradusios dėl krūvos buferio perpildymo trūkumo atvirojo kodo “libvpx” vaizdo kodekų bibliotekos VP8 kodavime, problemą, kurią sėkmingai panaudojus galima įvykdyti savavališką kodo vykdymą.
Nors “Apple” nepažymėjo, kad ši klaida buvo išnaudojama, “libvpx” klaidą anksčiau kaip nulinės dienos klaidą ištaisė “Google” interneto naršyklėje “Chrome” ir “Microsoft” produktuose “Edge”, “Teams” ir “Skype”.
CVE-2023-5217 aptiko saugumo tyrėjas Clément Lecigne, priklausantis “Google” Grėsmių analizės grupei (TAG) – saugumo ekspertų komandai, žinomai dėl to, kad dažnai randa nulinės dienos atakų, kuriomis piktnaudžiaujama vyriausybės remiamose tikslinėse šnipinėjimo programose, skirtose didelės rizikos asmenims.
Nuo 2023 m. sausio mėn. “Apple” iš viso išsprendė 18 nulinės dienos atvejų.