Корпорация Apple выпустила экстренное обновление программного обеспечения. Новость может вызвать ощущение некоторого дежа вю, поскольку ровно такая же информация появлялась всего две недели назад, но никакой ошибки нет. Производителю «яблочных» устройств уже второй раз за две недели приходится «ставить заплатки», устраняя уязвимости нулевого дня. Разница лишь в том, что двумя неделями ранее были исправлены две уязвимости, теперь же – целых три.

Уязвимости CVE-2023-41993 и CVE-2023-41991 были выявлены в движке браузера WebKit и инфраструктуре безопасности Security framework. Их эксплуатация потенциально позволяла организаторам атаки успешно обходить проверку подписи посредством вредоносных приложений, а также удаленно исполнять произвольный код со специально созданных вредоносных веб-страниц. Третья уязвимость (CVE-2023-41992) была обнаружена в инфраструктуре Kernel Framework, предоставляющей API и поддержку расширений ядра и драйверов устройств. Она могла служить для атаки с повышением привилегий.

Уязвимости затрагивают следующие продукты корпорации Apple: смартфоны iPhone 8 и более новые, планшеты iPad mini 5 и последующих поколений, компьютеры Mac под управлением macOS Monterey и более поздних операционных систем и часы Apple Watch Series 4 и более новые. Пользователям рекомендуется незамедлительно обновить ПО своих устройств: по сведениям Apple, эксплуатация уязвимостей уже используется в реальных атаках.

Все три уязвимости обнаружили исследователи Билл Марчак (Citizen Lab, Университет Торонто) и Мэдди Стоун (Google Threat Analysis Group). Необходимо отметить, что число уязвимостей нулевого дня, выявленных в продуктах Apple с начала года, достигло уже 16.