На этой неделе Apple выпустила новые обновления для операционных систем iOS, iPadOS, macOS и браузера Safari. Рекомендуем всем установить их, так как патчи устраняют уязвимость нулевого дня, активно эксплуатируемую в кибератаках.
Брешь получила идентификатор CVE-2023-23529 и существует из-за несоответствия используемых типов данных (type confusion) в браузерном движке WebKit. Эксплуатация происходит с помощью специально созданного вредоносного веб-контента и позволяет выполнить произвольный код.
По словам Apple, разработчики исправили баг с помощью улучшенных проверок. За сообщение о дыре поблагодарили исследователя, пожелавшего остаться неназванным.
Пока специалисты не могут понять, как именно киберпреступники используют CVE-2023-23529. Однако некоторые проводят параллели с другой брешью такого же класса — CVE-2022-42856, которая также получила статус 0-day.
Уязвимости в WebKit примечательны ещё и тем, что затрагивают каждый сторонний браузер в системах iOS и iPadOS. Как известно, Apple заставляет разработчиков интернет-обозревателей использовать один фреймворк для рендеринга.
Кроме того, последние патчи закрыли ещё одну брешь — use-after-free в CVE-2023-23514. С её помощью вредоносное приложение могло выполнить код с самыми высокими привилегиями.
