В бюллетене по безопасности Apple описала уязвимость нулевого дня WebKit, отслеживаемую как CVE-2023-37450 , которая была устранена в новом раунде обновлений Rapid Security Response (RSR) ранее в июле. Недостаток позволяет атакующему выполнять произвольный код, заставляя жертв открывать вредоносные веб-страницы.
Еще одна исправленная сегодня 0day-уязвимость — это новая уязвимость ядра CVE-2023-38606 , которая использовалась в атаках, нацеленных на устройства с версиями iOS, выпущенных до iOS 15.7.1. Недостаток позволяет злоумышленнику изменять важные состояний ядра. Apple устранила две уязвимости, улучшив проверки и управление состоянием.
По данным исследователей безопасности Kaspersky GReAT, ошибка CVE-2023-38606 является частью цепочки Zero-Click эксплоитов, используемой в шпионской кампании Triangulation на iPhone .
С начала 2023 года компания устранила уже десять уязвимостей нулевого дня, эксплуатируемых для взлома iPhone, Mac или iPad:
три уязвимости с нулевым днём ( CVE-2023-32434 , CVE-2023-32435 и CVE-2023-32439 ) в июне;
ещё три уязвимости с нулевым днём ( CVE-2023-32409 , CVE-2023-28204 и CVE-2023-32373 ) в мае;
две уязвимости с нулевым днём ( CVE-2023-28206 и CVE-2023-28205 ) в апреле;
и ещё одна уязвимость WebKit с нулевым днём ( CVE-2023-23529 ) в феврале.
Список устройств, затронутых двумя исправленными сегодня нулевыми днями, довольно обширен и включает в себя широкий спектр моделей iPhone и iPad, а также компьютеры Mac под управлением macOS Big Sur, Monterey и Ventura.