- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Уязвимость CVE-2023-23529 связана с ошибкой путаницы типов (Type Confusion) в движке браузера WebKit. Она может быть активирована при обработке вредоносного веб-контента, в результате чего злоумышленникам доступно выполнение произвольного кода. Компания заявила, что уязвимость была устранена и что она действительно активно эксплуатировалась хакерами на момент закрытия. О ней в Купертино сообщил анонимный исследователь безопасности.
Недостатки WebKit также примечательны тем фактом, что они влияют на все сторонние веб-браузеры, доступные для iOS и iPadOS. Это связано с ограничениями Apple, которые требуют, чтобы разработчики всех браузеров использовали одну и ту же среду рендеринга.
Другая уязвимость, для которой был выпущен патч, отслеживается под идентификатором CVE-2023-23514. Она позволяет вредоносному приложению выполнять произвольный код с наивысшими привилегиями. О ней Apple сообщили исследователи безопасности из Google Project Zero. Apple заявила, что устранила уязвимость с помощью улучшенного управления памятью.
Кроме того, последнее обновление macOS также устраняет дефект конфиденциальности в ярлыках, которые вредоносные приложения могут использовать для «наблюдения за незащищенными пользовательскими данными». Уязвимость, как отметили в Apple, была исправлена с улучшенной обработкой временных файлов.
Пользователям рекомендуется незамедлительно обновиться до iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 и Safari 16.3.1, чтобы снизить все потенциальные риски. Обновления уже доступны для следующих устройств:
- iPhone 8 и более поздних версий, iPad Pro (все модели);
- iPad Air 3-го поколения и более поздних версий;
- iPad 5-го поколения и более поздних версий;
- iPad mini 5-го поколения и более поздних версий;
- Компьютеры Mac под управлением macOS Ventura, macOS Big Sur и macOS Monterey.