Apple выпустила обновления iOS 18.1.1, iPadOS 18.1.1 и macOS Sequoia 15.1.1, которые устраняют уязвимости в JavaScriptCore и WebKit, активно эксплуатируемые на некоторых устройствах. Поскольку затронутые компоненты встречаются и в других ОС от Apple, они также получили исправления в iOS 17.7.2 и iPadOS 17.7.2, а также visionOS 2.1.1.
Уязвимость в JavaScriptCore позволяла выполнять произвольный код при обработке специально созданного веб-контента. Уязвимость в WebKit также могла привести к выполнению кода через вредоносный веб-контент, а в некоторых случаях — к атакам межсайтового скриптинга (XSS).
Apple исправляет две уязвимости «нулевого дня», эксплуатирующиеся в атаках на компьютеры Mac с процессорами Intel
В бюллетени по безопасности Apple подтверждает, что проблемы безопасности использовались в реальных атаках:
Apple известно о том, что данная проблема могла быть использована.
Две ошибки были обнаружены в компонентах macOS Sequoia JavaScriptCore (CVE-2024-44308) и WebKit (CVE-2024-44309).
Уязвимость JavaScriptCore CVE-2024-44308 позволяет злоумышленникам добиться удаленного выполнения кода через злонамеренно созданный веб-контент. Другой дефект, CVE-2024-44309, позволяет осуществлять атаки межсайтового скриптинга (cross-site scripting, CSS).
Хотя Apple утверждает, что обе уязвимости были обнаружены Клеманом Лецином (Clement Lecign) и Бенуа Севеном (Benoit Sevens) из группы анализа угроз Google, компания не предоставила более подробной информации о том, как они эксплуатировались.
Как обновить устройства
- Для iPhone и iPad: перейдите в «Настройки» > «Основные» > «Обновление ПО» и установите доступное обновление.
- Для Mac: откройте Системные настройки > Обновление ПО и установите новую версию macOS Sequoia 15.1.1.
Не откладывайте установку обновлений, чтобы обеспечить максимальную защиту ваших устройств.
«Мы рекомендуем обновить устройства до последней версии программного обеспечения как можно скорее, чтобы защитить их от возможных угроз», — отмечают в Apple.
С учетом этих двух уязвимостей Apple устранила уже шесть уязвимостей «нулевого дня» в 2024 году: первую - в январе, две - в марте и четвертую - в мае.
Это значительно лучше, чем в прошлом году, когда Apple исправила в общей сложности 20 уязвимостей нулевого дня, эксплуатируемых в дикой природе, включая:
- Две уязвимости «нулевого дня» (CVE-2023-42916 и CVE-2023-42917) в ноябре
- Две уязвимости «нулевого дня» (CVE-2023-42824 и CVE-2023-5217) в октябре
- Пять уязвимостей «нулевого дня» (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993) в сентябре
- Две уязвимости «нулевого дня» (CVE-2023-37450 и CVE-2023-38606) в июле
- Три уязвимости «нулевого дня» (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне
- Три уязвимости «нулевого дня» (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае
- Две уязвимости «нулевого дня» (CVE-2023-28206 и CVE-2023-28205) в апреле
- Одну уязвимость «нулевого дня» WebKit (CVE-2023-23529) в феврале
Обновления программ, что нового
• Oppo Find X8 Ultra и vivo X200 Ultra будут продаваться только в Китае: Технические характеристики новых флагманов
• Intel Graphics Software заменит Intel Arc Control
• Qualcomm и Geekom выпустят новый Мини-ПК с Snapdragon X Elite
• Обновление Steam устранило ошибки в записи игр, Remote Play и поддержке ROG Ally X
• Обновление Intel ARC Game On Driver 32.0.101.6314 WHQL. Исправления для Call of Duty: Black Ops 6 и Minecraft Bedrock
• Samsung выпустил обновление за ноябрь 2024 года для устройств Galaxy