Menu dostępności

Apple łata kolejny zero-day na iOS

Apple łata kolejny zero-day na iOS

Apple wydało aktualizację zabezpieczeń dla systemów iOS i iPadOS. Usuwa ona kolejną lukę typu zero-day (CVE-2023-42824) wykorzystywaną w środowisku naturalnym.

W ciągu ostatniego miesiąca Apple dostarczyło poprawki dla szeregu aktywnie wykorzystywanych dni zerowych.

W zeszłym tygodniu pisaliśmy o trzech lukach zero-day załatanych przez firmę. Wykorzystano je w łańcuchu exploitów, aby dostarczyć złośliwe oprogramowanie Intellexa Predator na docelowe urządzenia z systemem iOS.

Inne podatności – CVE-2023-41064 i CVE-2023-41061 zostały powiązane i wykorzystane w celu dostarczenia oprogramowania szpiegującego Pegasus należącego do NSO Group użytkownikom iPhone’ów wysokiego ryzyka.

Obie luki zostały zgłoszone przez Citizen Lab i naprawione zarówno w oddziałach iOS 16, jak i iOS 15.

Krótko o nowym CVE-2023-42824

CVE-2023-42824 to luka w jądrze, która może pozwolić atakującemu podnieść swoje uprawnienia na dotkniętych iPhone’ach i iPadach.

„Apple wie o raporcie mówiącym, że problem ten mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż iOS 16.6” – stwierdziła firma.

Luka dotyczy następujących urządzeń:

  • iPhone XS i nowsze wersje,
  • iPad Pro 12,9 cala 2. generacji i nowsze,
  • Pad Pro 10,5 cala,
  • iPad Pro 11 cali 1. generacji i nowsze,
  • iPad Air 3. generacji i nowsze,
  • iPad 6. generacji i nowsze,
  • iPad mini 5. generacji i nowsze.

Firma zaradziła tej luce, wydając aktualizacje iOS 17.0.3 i iPadOS 17.0.3, obejmujące również CVE-2023-5217 – lukę w zabezpieczeniach związaną z przepełnieniem bufora w kodowaniu vp8 w bibliotece kodeków wideo libvpx, która może pozwolić na wykonanie dowolnego kodu.

Apple rozwiązało problem przepełnienia bufora, aktualizując bibliotekę libvpx 1.13.1.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...