В понедельник Apple выпустила исправления безопасности для iOS, iPadOS, macOS, tvOS, watchOS и веб-браузера Safari, устраняющие многочисленные недостатки безопасности, в дополнение к возврату исправлений для двух недавно опубликованных нулевых дней на старые устройства.
Сюда входят обновления для 12 уязвимостей в iOS и iPadOS, охватывающие AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing и WebKit. macOS Sonoma 14.2, со своей стороны, устраняет 39 недостатков, включая шесть ошибок, влияющих на библиотеку ncurses.
Среди недостатков следует отметить CVE-2023-45866, критическую проблему безопасности, которая может позволить злоумышленнику, находящемуся в привилегированном сетевом положении, вводить нажатия клавиш путем подмены клавиатуры.
Уязвимость была раскрыта исследователем безопасности SkySafe Марком Ньюлином на прошлой неделе. Это было исправлено в iOS 17.2, iPadOS 17.2 и macOS Sonoma 14.2 с улучшенными проверками, сообщил производитель iPhone.
Также Apple выпустила Safari 17.2, содержащий исправления двух недостатков WebKit - CVE-2023-42890 и CVE-2023-42883 – это может привести к выполнению произвольного кода и отказу в обслуживании (DoS). Обновление доступно для компьютеров Mac под управлением macOS Monterey и macOS Ventura.
iOS 17.2 и iPadOS 17.2, помимо устранения ошибки Siri, которая могла позволить злоумышленнику, имеющему физический доступ, получить конфиденциальные данные, содержат обновление для системы безопасности в виде проверки ключа контакта, которое обеспечивает конфиденциальность разговоров в iMessage, позволяя пользователям проверять контакты, с которыми они общаются.
"Проверка контактного ключа iMessage повышает уровень внедрения прозрачности ключей, поскольку пользовательские устройства сами проверяют доказательства согласованности и обеспечивают согласованность системы KT на всех пользовательских устройствах для учетной записи", - отметила Apple в техническом пояснении в октябре 2023 года.
"Эти улучшения защищают от взлома ключевых каталогов, а также от взлома самой службы прозрачности и могут обнаруживать разделенные представления, предоставляемые обеими службами".
Одновременно с этими обновлениями Apple также выпустила iOS 16.7.3 и iPadOS 16.7.3 для устранения целых восьми проблем безопасности, две из которых связаны с WebKit (CVE-2023-42916 и CVE-2023-42917) и, как было раскрыто Redmond, активно использовались в дикой природе ранее в этом месяце.
Обе уязвимости были исправлены также в tvOS 17.2 и watchOS 10.2. Пока нет никаких дополнительных сведений о характере эксплуатации и субъектах угроз, которые могут их использовать.
Сюда входят обновления для 12 уязвимостей в iOS и iPadOS, охватывающие AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing и WebKit. macOS Sonoma 14.2, со своей стороны, устраняет 39 недостатков, включая шесть ошибок, влияющих на библиотеку ncurses.
Среди недостатков следует отметить CVE-2023-45866, критическую проблему безопасности, которая может позволить злоумышленнику, находящемуся в привилегированном сетевом положении, вводить нажатия клавиш путем подмены клавиатуры.
Уязвимость была раскрыта исследователем безопасности SkySafe Марком Ньюлином на прошлой неделе. Это было исправлено в iOS 17.2, iPadOS 17.2 и macOS Sonoma 14.2 с улучшенными проверками, сообщил производитель iPhone.
Также Apple выпустила Safari 17.2, содержащий исправления двух недостатков WebKit - CVE-2023-42890 и CVE-2023-42883 – это может привести к выполнению произвольного кода и отказу в обслуживании (DoS). Обновление доступно для компьютеров Mac под управлением macOS Monterey и macOS Ventura.
iOS 17.2 и iPadOS 17.2, помимо устранения ошибки Siri, которая могла позволить злоумышленнику, имеющему физический доступ, получить конфиденциальные данные, содержат обновление для системы безопасности в виде проверки ключа контакта, которое обеспечивает конфиденциальность разговоров в iMessage, позволяя пользователям проверять контакты, с которыми они общаются.
"Проверка контактного ключа iMessage повышает уровень внедрения прозрачности ключей, поскольку пользовательские устройства сами проверяют доказательства согласованности и обеспечивают согласованность системы KT на всех пользовательских устройствах для учетной записи", - отметила Apple в техническом пояснении в октябре 2023 года.
"Эти улучшения защищают от взлома ключевых каталогов, а также от взлома самой службы прозрачности и могут обнаруживать разделенные представления, предоставляемые обеими службами".
Одновременно с этими обновлениями Apple также выпустила iOS 16.7.3 и iPadOS 16.7.3 для устранения целых восьми проблем безопасности, две из которых связаны с WebKit (CVE-2023-42916 и CVE-2023-42917) и, как было раскрыто Redmond, активно использовались в дикой природе ранее в этом месяце.
Обе уязвимости были исправлены также в tvOS 17.2 и watchOS 10.2. Пока нет никаких дополнительных сведений о характере эксплуатации и субъектах угроз, которые могут их использовать.
