“Apple известно о сообщении, что эта проблема могла активно эксплуатироваться”, – говорится в рекомендациях по безопасности, описывающих дефекты безопасности.
Ошибки были обнаружены во фреймворках Image I/O и Wallet и отслеживаются как CVE-2023-41064 (обнаружена исследователями Citizen Lab) и CVE-2023-41061 (обнаружена Apple).
Сегодня компания Citizen Lab также обнаружила, что ошибки CVE-2023-41064 и CVE-2023-41061 активно использовали в составе цепочки эксплойтов для iMessage с нулевым кликом под названием BLASTPASS, который использовали для установки наемного шпионского ПО Pegasus компании NSO Group на полностью (16.6)) через вложения PassKit, содержащие вредоносные изображения.
CVE-2023-41064 – это уязвимость переполнения буфера, которая возникает при обработке вредоносных изображений и может привести к выполнению произвольного кода на непропатченных устройствах.
CVE-2023-41061 – это проблема валидации, которая может быть использована с помощью вредного вложения и также привести к выполнению произвольного кода на целевых устройствах.
Apple исправила «нулевые дни» в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Список задетых устройств достаточно велик, поскольку две ошибки безопасности затрагивают как старые, так и и новые модели, и включает в себя:
- iPhone 8 и более поздние версии
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5- го поколения и новее, iPad mini 5-го поколения и новее
- компьютеры Mac под управлением macOS Ventura
- Apple Watch Series 4 и более поздние модели
13 эксплуатированных “нулевых дней”, исправленных в этом году
С начала года компания Apple исправила 13 ошибок нулевого дня, которые использовали в атаках на устройства под управлением iOS, macOS, iPadOS и watchOS.
>
Два месяца назад, в июле, компания Apple выпустила внеполосные обновления Rapid Security Response (RSR) для устранения уязвимости (CVE-2023-37450), затрагивающей полностью исправленные модели iPhone, Mac и iPad.
Позже компания подтвердила, что обновления RSR частично нарушают работу веб-браузеров на исправленных устройствах, и через два дня выпустила новые и исправленные версии исправлений.
До сегодняшнего дня Apple также устранила:
- две «нулевые дыры» (CVE-2023-37450 и CVE-2023-38606) в июле
- три нулевые ошибки (CVE-2023-32434, CVE-2023-32435 и CVE-2023- 32439) в июне
- еще три нулевых дня (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае
- два “нулевых дня” (CVE -2023-28206 и CVE-2023-28205) в апреле
- и еще один “нулевой день” для WebKit (CVE-2023-23529) в феврале.
Обновление 07 сентября, 15:42 EDT: Добавлена информация о раскрытии Citizen Lab цепочки эксплойтов для iMessage с нулевым кликом.