Neljapäeval andis Apple välja hulga värskendusi, mis toovad iPhone'ile ja Macile mõned uued funktsioonid. Kuid veelgi olulisem on see, et värskendused sisaldavad kolme kriitilist nullpäeva paikamist turvaaukude jaoks, mida on teadaolevalt aktiivselt ära kasutatud. Kõige murettekitavamad vead võimaldavad häkkeril pääseda juurde isikuandmetele ja võtta teie seadme üle pahatahtliku rakenduse kaudu.
WebKiti vead hõlmavad Apple'i seadmete perekonda ja neid on parandatud iOS 16.5, iPadOS 16.5, watchOS 9.5, macOS 13.4ja tvOS 16.5, aga ka iOS/iPadOS 15.7.6, macOS Monterey 12.6.6 ja macOS Big Sur 11.7.7, samuti Safari 16.5. Kõik värskendused sisaldavad samu viit WebKiti parandust, millest kolm on teadaolevalt ära kasutatud:
WebKit
- Mõju: Veebisisu töötlemine võib avaldada tundlikku teavet
- Kirjeldus: Piiramatut lugemist käsitleti täiustatud sisendi valideerimisega.
-
WebKit Bugzilla: 255075
CVE-2023-32402: anonüümne uurija
WebKit
- Mõju: veebisisu töötlemine võib avaldada tundlikku teavet
- Kirjeldus. Puhvri ületäitumise probleem lahendati täiustatud mälukäsitlusega.
-
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
- Mõju: Võimalik, et kaugründaja suudab veebisisu liivakastist välja murda. Apple on teadlik aruandest, et seda probleemi võidi aktiivselt ära kasutada.
- Kirjeldus: Probleem lahendati täiustatud piirikontrolliga.
-
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne Google'i ohuanalüüsi rühmast ja Donncha Ó Cearbhaill Amnesty Internationali turvalaborist
WebKit
- Mõju: Veebisisu töötlemine võib avaldada tundlikku teavet. Apple on teadlik aruandest, et seda probleemi võidi aktiivselt ära kasutada.
- Kirjeldus: Piiramatut lugemist käsitleti täiustatud sisendi valideerimisega.
-
WebKit Bugzilla: 254930
CVE-2023-28204: anonüümne uurija
WebKit
- Mõju: Pahatahtlikult loodud veebisisu töötlemine võib viia suvalise koodi täitmiseni. Apple on teadlik aruandest, et seda probleemi võidi aktiivselt ära kasutada.
- Kirjeldus: Täiustatud mäluhaldusega lahendati pärast tasuta kasutamise probleem.
-
WebKit Bugzilla: 254840
CVE-2023-32373: anonüümne uurija
Kaks kolmest nullpäeva veast, CVE-2023-28204 ja CVE-2023-32373, olid varem paigatud osana Apple'i esimesed kiire turvareageerimise värskendused iOS-i ja iPadOS-i (16.4.1 (a)) ning macOS Ventura (13.3.1) jaoks (a)).
Oma iPhone'i või iPadi värskendamiseks avage rakendus Seaded ja seejärel Kindral ja Tarkvara värskendus. Avage Macis System Settings, seejärel General ja Tarkvara värskendus; Ventura-eelsetes Macides otsige üles rakendus System Preferences ja seejärel Tarkvara värskendus.