Apple-ը անվտանգության շտկումների նոր փուլ է մեկնարկել՝ լուծելու ակտիվորեն շահագործվող «Zero-Day» երեք խոցելիությունների հարցը, որոնք ազդում են՝ iOS-ի, iPadOS-ի, macOS-ի, watchOS-ի և Safari-ի վրա: Այս տարվա կտրվածքով իր համակարգերում հայտնաբերված «Zero-Day»-ի սխալների ընդհանուր թիվը հասել է 16-ի:
Խոցելիությունների ցանկը հետևյալն է.
- CVE-2023-41991 – Անվտանգության շրջանակում վկայագրերի վավերացման խնդիր, որը վնասակար app-ին կարող է թույլ տալ շրջանցել bypass signature validation-ը:
- CVE-2023-41992 – Անվտանգության խոցելիություն Kernel-ում, որը local attacker-ին թույլ է տալիս մեծացնել իր արտոնությունները:
- CVE-2023-41993 – WebKit-ի խոցելիություն, որը կարող է հանգեցնել կամայական կոդի կատարման:
Թարմացումները հասանելի են հետևյալ սարքերի և օպերացիոն համակարգերի համար՝
- iOS 16.7 and iPadOS 16.7 – iPhone 8 և ավելի նոր մոդելներ, iPad Pro (բոլոր մոդելները), iPad Air 3-րդ սերունդ և ավելի նոր մոդելներ, iPad 5-րդ սերունդ և ավելի նոր մոդելներ, և iPad mini 5-րդ սերունդ և ավելի նոր մոդելներ
- iOS 17.0.1 and iPadOS 17.0.1 – iPhone XS և ավելի նոր մոդելներ, iPad Pro 12,9 դյույմ 2-րդ սերունդ և ավելի նոր մոդելներ, iPad Pro 10,5 դյույմ, iPad Pro 11, iPad Air 3-րդ սերունդ և ավելի նոր մոդելներ, iPad 6-րդ սերունդ և ավելի նոր մոդելներ, iPad mini 5-րդ սերունդ և ավելի նոր մոդելներ
- macOS Monterey 12.7 և macOS Ventura 13.6
- watchOS 9.6.3 և watchOS 10.0.1 – Apple Watch 4 և ավելի նոր մոդելներ
- Safari 16.6.1 – macOS Big Sur և macOS Monterey
Կան ապացույցներ, որոնք ենթադրում են, որ և՛ CVE-2023-41064-ը՝ buffer overflow-ի խոցելիությունը, և՛ CVE-2023-4863-ը՝ heap buffer overflow-ն կարող են վերաբերել նույն bug-ին:
«Լավ նորությունն այն է, որ հայտնաբերված bug-երի շտկումը upstream libwebp-ում ճիշտ է արվել», – նշում է Հոքսը:
«Իսկ վատ նորությունն այն է, որ libwebp-ի կիրառության շրջանակը լայն է և որոշ ժամանակ կտևի, մինչև դրա շտկումը հասնի լիարժեք հագեցվածության»:
Աղբյուրը՝ https://thehackernews.com/