På torsdag ga Apple ut en rekke oppdateringer som gir noen nye funksjoner til iPhone og Mac. Men mye viktigere, oppdateringene inkluderer tre kritiske null-dagers patcher for sikkerhetssårbarheter som er kjent for å ha blitt aktivt utnyttet. Den mest alarmerende av feilene lar en hacker få tilgang til personlige data og ta over enheten din via en ondsinnet app.
WebKit-feilene spenner over Apples familie av enheter og har blitt lappet inn iOS 16.5, iPadOS 16.5, watchOS 9.5, macOS 13.4, og tvOS 16.5, men også iOS/iPadOS 15.7.6, macOS Monterey 12.6.6 og macOS Big Sur 11.7.7, samt Safari 16.5. Alle oppdateringene inkluderer de samme fem WebKit-fiksene, med tre av dem kjent for å ha blitt utnyttet:
WebKit
- Innvirkning: Behandling av nettinnhold kan avsløre sensitiv informasjon
- Beskrivelse: En avlesning utenfor grensene ble adressert med forbedret inndatavalidering.
-
WebKit Bugzilla: 255075
CVE-2023-32402: en anonym forsker
WebKit
- Virkning: Behandling av nettinnhold kan avsløre sensitiv informasjon
- Beskrivelse: Et bufferoverløpsproblem ble løst med forbedret minnehåndtering.
-
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
- Innvirkning: En ekstern angriper kan være i stand til å bryte ut av nettinnholdssandboksen. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet.
- Beskrivelse: Problemet ble løst med forbedrede grensekontroller.
-
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne fra Googles Threat Analysis Group og Donncha Ó Cearbhaill fra Amnesty Internationals sikkerhetslaboratorium
WebKit
- Innvirkning: Behandling av nettinnhold kan avsløre sensitiv informasjon. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet.
- Beskrivelse: En avlesning utenfor grensene ble adressert med forbedret inndatavalidering.
-
WebKit Bugzilla: 254930
CVE-2023-28204: en anonym forsker
WebKit
- Innvirkning: Behandling av ondsinnet nettinnhold kan føre til kjøring av vilkårlig kode. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet.
- Beskrivelse: Et problem med bruk etter fri ble løst med forbedret minnebehandling.
-
WebKit Bugzilla: 254840
CVE-2023-32373: en anonym forsker
To av de tre nulldagsfeilene, CVE-2023-28204 og CVE-2023-32373, ble tidligere rettet som en del av Apples første Rapid Security Response-oppdateringer for iOS og iPadOS (16.4.1 (a)) og macOS Ventura (13.3.1 (en)).
For å oppdatere iPhone eller iPad, gå til Innstillinger-appen og deretter Generell og Programvare oppdatering. På en Mac går du til Systeminnstillinger, deretter Generelt og Programvare oppdatering; på pre-Ventura Mac-er, finn Systemvalg-appen, og deretter Programvare oppdatering.