Новый 0day в Apple: любознательные пользователи теряют контроль над устройством

Apple выпустила обновления безопасности для iOS, iPadOS, macOS, tvOS и веб-браузера Safari, чтобы устранить уязвимость нулевого дня (zero-day), которая стала объектом активной эксплуатации.

Уязвимость путаницы типов (Type Confusion) CVE-2024-23222 в движке WebKit позволяет злоумышленнику обманом заставить жертв посетить вредоносный веб-контент для выполнения произвольного кода. Apple заявила, что проблема решена благодаря улучшенным проверкам. Apple признала, что ей известно об эксплуатации уязвимости, но не поделилась какими-либо другими подробностями о характере атак или киберпреступниках, использующих недостаток.

Обновления доступны для следующих устройств и операционных систем:

• iOS 17.3 и iPadOS 17.3 — iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, и iPad mini 5-го поколения и новее;
• iOS 16.7.5 и iPadOS 16.7.5 — iPhone 8, iPhone 8 Plus, iPhone X, iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го поколения;
• macOS Sonoma 14.3 — компьютеры Mac под управлением macOS Sonoma;
• macOS Ventura 13.6.4 — компьютеры Mac под управлением macOS Ventura;
• macOS Monterey 12.7.3 — компьютеры Mac под управлением macOS Monterey;
• tvOS 17.3 — Apple TV HD и Apple TV 4K (все модели);
• Safari 17.3 — компьютеры Mac под управлением macOS Monterey и macOS Ventura.

Исправленная уязвимость – первая активно эксплуатируемая уязвимость нулевого дня, исправленная Apple в 2024 году. В декабре прошлого года Apple выпустила экстренные обновления безопасности для резервных исправлений для двух активно эксплуатируемых уязвимостей нулевого дня в старых iPhone и некоторых моделях Apple Watch и Apple TV. По словам компании, проблема могла быть использована в версиях iOS до iOS 16.7.1.