Apple łata lukę typu zero-day wykorzystywaną w systemie iOS

Według The Hacker News , poprawiony błąd, oznaczony numerem CVE-2023-42824, to luka w jądrze, która może umożliwić lokalnemu atakującemu zwiększenie uprawnień. Firma Apple poinformowała, że ​​otrzymała zgłoszenia dotyczące tego problemu z wersji wcześniejszych niż iOS 16.6 i rozwiązała go, ulepszając mechanizmy kontroli.

Jak zwykle, szczegóły dotyczące charakteru ataków i tożsamości sprawców zagrożenia nie zostały ujawnione. Nowa aktualizacja Apple usuwa również błąd CVE-2023-5217 dotyczący komponentu WebRTC, który Google wcześniej opisał jako przepełnienie bufora w bibliotece libvpx.

Dzięki poprawkom do systemów iOS 17.0.3 i iPadOS 17.0.3 firma Apple nie tylko rozwiązuje nietypowy problem przegrzewania się urządzeń z najnowszej serii iPhone 15, ale także usuwa łącznie 17 luk typu Zero-Day, które były aktywnie wykorzystywane na urządzeniach od początku roku.

Dwa tygodnie temu gigant z Cupertino wydał iOS i iPadOS 17.0.2, który załatał trzy luki w zabezpieczeniach (CVE-2023-41991, CVE-2023-41992 i CVE-2023-41993), które zdaniem ekspertów ds. bezpieczeństwa są aktywnie wykorzystywane. Te luki typu zero-day zostały wykorzystane przez Cytrox, izraelską firmę produkującą oprogramowanie szpiegujące, do rozpowszechnienia złośliwego oprogramowania Predator na iPhone'a byłego urzędnika egipskiego parlamentu na początku tego roku.

Użytkownicy narażeni na atak mogą skorzystać z trybu blokady, który Apple wprowadził w systemie iOS 16, aby zmniejszyć ryzyko wykorzystania oprogramowania szpiegującego.