Zazwyczaj aktualizacje systemów operacyjnych Apple, od iOS, przez macOS, aż po bardziej niszowe systemy jak watchOS i tvOS, wydawane są z pewnym wyprzedzeniem. W testach biorą udział beta-testerzy, a lista planowanych nowych funkcji jest zazwyczaj znana na długo przed oficjalnym wypuszczeniem łatki dla wszystkim. Kolejną aktualizacją dla iOS miał być 16.5, ale plany te zostały zmienione…
Nie da się jednak ukryć, że są sytuacje, kiedy nie można zwlekać z wydaniem aktualizacji. Podatności zero-day to takie, które można aktywnie wykorzystać do ataku, ale na które nie ma jeszcze łatki. Kiedy producent się o niej dowie, wydanie aktualizacji uniemożliwiające wykorzystanie luki powinno być priorytetem, ponieważ atakujący może już aktywnie z niej korzystać w stosunku do użytkowników danego oprogramowania.
Podatności mają następujące oznaczenie:
- CVE-2023-28206
- CVE-2023-28205
Pierwsza podatność związana jest z IOSurfaceAccelerator. Atakujący mógł wykorzystać błąd do zdalnego wykonania kodu. Druga luka powiązana jest z WebKit i jej wykorzystanie może także doprowadzić do wykonania kodu, ale podczas ponownego wykorzystania wolnej pamięci urządzenia (RAM). W praktyce mógłby pokierować ofiarę na fałszywą witrynę pod kontrolą cyberprzestępcy.
Wszystkie luki zostały załatane w następujących wydaniach systemów:
- iOS 16.4.1
- iPadOS 16.4.1
- macOS Ventura 13.3.1
- Safari 16.4.1
Od początku roku zostały załatane już trzy luki typu zero-day.
Źródło: https://www.bleepingcomputer.com/news/apple/apple-fixes-two-zero-days-exploited-to-hack-iphones-and-macs/
