Apple corectează o vulnerabilitate zero-day exploatată pe iOS

Conform The Hacker News , eroarea corectată, identificată ca CVE-2023-42824, este o vulnerabilitate a kernelului care ar putea permite unui atacator local să escaladeze privilegiile. Apple a declarat că a primit rapoarte despre acest lucru din versiuni anterioare iOS 16.6 și a rezolvat problema prin îmbunătățirea verificărilor sale.

Ca de obicei, detalii despre natura atacurilor și identitățile actorilor amenințători responsabili nu au fost publicate. Noua actualizare a Apple rezolvă, de asemenea, o eroare CVE-2023-5217 care afectează componenta WebRTC, pe care Google a descris-o anterior ca o depășire a bufferului în biblioteca libvpx.

Cu patch-urile iOS 17.0.3 și iPadOS 17.0.3, Apple nu numai că abordează problema neobișnuită de supraîncălzire a noului iPhone 15, dar abordează și un total de 17 vulnerabilități Zero-Day care au fost exploatate activ pe dispozitivele afectate de la începutul anului.

În urmă cu două săptămâni, gigantul cu sediul în Cupertino a lansat iOS și iPadOS 17.0.2, care a remediat trei defecte de securitate (CVE-2023-41991, CVE-2023-41992 și CVE-2023-41993) despre care experții în securitate au confirmat că sunt exploatate în mod activ. Aceste defecte zero-day au fost folosite de Cytrox, o companie israeliană de spyware, pentru a răspândi malware-ul Predator pe iPhone-ul unui fost oficial al parlamentului egiptean la începutul acestui an.

Utilizatorii care riscă să fie vizați pot folosi Modul Lockdown, pe care Apple l-a echipat pe iOS 16, pentru a reduce riscul de a fi exploatați de programe spyware.