В конце минувшей недели корпорация Apple выпустила внеплановые обновления ПО. Они устраняют две уязвимости нулевого дня, затрагивающие значительное число «яблочных» устройств – смартфонов, планшетов и компьютеров. Уязвимость CVE-2023-28206 связана с возможностью выхода за пределы отведенного приложению объема памяти. Она выявлена в IOSurfaceAccelerator и может вести к повреждению данных, отказу в работе и потенциально использоваться для исполнения произвольного кода.

Уязвимость CVE-2023-28205 в движке WebKit связана с использованием памяти после высвобождения и также может служить для удаленного исполнения произвольного кода. Уязвимости были выявлены специалистами Threat Analysis Group корпорации Google и Amnesty International's Security Lab. Они угрожают большому количеству устройств от Apple: смартфонам iPhone 8 и выше, планшетам iPad Pro (все модели), iPad Air 3 поколения и более новым, iPad 5 поколения и более новым, iPad mini 5 поколения и более новым и компьютерам Mac под управлением macOS Ventura.

Корпорация Apple признала, что уязвимости уже эксплуатируются в реальных атаках, однако никакие подробности в настоящее время не приводятся. Пользователям рекомендовано обновить ПО своих устройств незамедлительно. Стоит добавить, что с начала нынешнего года в устройствах от Apple выявлены уже три уязвимости нулевого дня.