Apple wypuszcza poprawkę do luki zero-day dla iPhone i Mac

Apple naprawiło dwa błędy bezpieczeństwa o wysokim stopniu zagrożenia, które pozwalały hakerom na uruchomienie dowolnego kodu na podatnych urządzeniach, potencjalnie umożliwiając im kradzież wrażliwych treści lub nawet porwanie całego urządzenia.

Pierwsza z nich, oznaczona jako CVE-2023-23514, to błąd typu Use After Free, umożliwiający hakerom wykonanie dowolnego kodu z uprawnieniami kernela. Dziura dotyczy iPhone’ów 8 i nowszych, wszystkich modeli iPadów Pro, iPadów Air 3. generacji i nowszych, iPadów 5. generacji i nowszych oraz iPadów mini 5. generacji i nowszych. Luka została odkryta przez Xinru Chi z Pangu Lab, oraz Neda Williamsona z Google Project Zero i podobno została naprawiona dzięki lepszemu zarządzaniu pamięcią.

Druga dziura, oznaczona jako CVE-2023-23529, została znaleziona w WebKitcie, silniku przeglądarki Apple’a używanym w Safari. Był to błąd typu confusion, naprawiony za pomocą ulepszonych kontroli, ponieważ poprzez przetwarzanie złośliwie spreparowanych treści internetowych, urządzenie mogło pozwolić na wykonanie dowolnego kodu przez osoby trzecie, wyjaśnił Apple.

Apple potwierdziło, że obie luki są aktywnie wykorzystywane, co oznacza, że hakerzy są świadomi problemów i wykorzystują je do uzyskania dostępu do urządzeń i kradzieży cennej zawartości.

Dlatego najważniejsze jest, aby użytkownicy jak najszybciej zastosowali poprawki i zaktualizowali system do iOS 16.3.1 i iPadOS 16.3.1.