В бюллетени по безопасности компания Apple сообщает:
Apple известно из отчета, что данная проблема могла активно эксплуатироваться.
Ошибки с идентификаторами CVE-2023-41064 и CVE-2023-41061 были обнаружены в фреймворках Image I/O и Wallet. Первая из них обнаружена Citizen Lab, а вторая — Apple.
Лаборатория Citizen Lab также обнаружила, что уязвимости CVE-2023-41064 и CVE-2023-41061 активно использовались в составе цепочки эксплойтов «с нулевым кликом» для iMessage под названием BLASTPASS. Эксплойты использовались для установки наемного шпионского ПО Pegasus компании NSO Group на полностью пропатченные iPhone (под управлением iOS 16.6) через вложения PassKit с вредоносными изображениями.
- CVE-2023-41064 — уязвимость переполнения буфера, которая возникает при обработке вредоносных изображений и может привести к выполнению произвольного кода на непропатченных устройствах.
- CVE-2023-41061 — это проблема валидации, которая привести к выполнению произвольного кода на целевых устройствах с помощью вредоносного вложения.
Apple исправила уязвимости «нулевого дня» в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Список затронутых устройств довольно обширен и включает:
- iPhone 8 и более поздние версии
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее
- Компьютеры Mac под управлением macOS Ventura
- Apple Watch Series 4 и более поздние модели
Исправлено уже 13 уязвимостей «нулевого дня» в этом году
С начала года Apple исправила 13 уязвимостей нулевого дня, которые были использованы в реальных атаках для взлома устройств на iOS, macOS, iPadOS и watchOS.
Два месяца назад, в июле, компания Apple выпустила обновления «Быстрый ответ на угрозы» для устранения уязвимости (CVE-2023-37450), затрагивающей полностью обновленные модели iPhone, Mac и iPad.
Позднее компания подтвердила, что эти обновления частично нарушают работу веб-браузеров на исправленных устройствах, и через два дня выпустила исправленные версии патчей.
Ранее компания устранила:
- Две уязвимости нулевого дня (CVE-2023-37450 и CVE-2023-38606) в июле.
- Три уязвимости нулевого дня (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне.
- Три уязвимости нулевого дня (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае.
- Две уязвимости нулевого дня (CVE-2023-28206 и CVE-2023-28205) в апреле.
- Еще одну уязвимость нулевого дня WebKit (CVE-2023-23529) в феврале.
Обновления программ, что нового
• Обновление Intel ARC Game On Driver 32.0.101.6253 Non-WHQL: Исправления для Intel Arc B-серии «Battlemage»
• OpenAI представила новые ИИ-модели o3 и o3-mini с возможностью «рассуждения»
• Samsung Display Assistant: Расширенное управление экраном Galaxy S24
• Обновление Intel Graphics Drivers (legacy) 31.0.101.2134 WHQL для процессоров Intel 7-10 поколения
• OpenAI анонсировала возможность позвонить ChatGPT
• Google выпускает Gemini 2.0 Flash Thinking Experimental — свою первую ИИ-модель с возможностью «рассуждения»