Apple выпустила обновления для системы безопасности, устраняющие несколько недостатков безопасности, включая две уязвимости, которые, по ее словам, активно использовались в дикой природе.
Недостатки перечислены ниже -
Обновления доступны для следующих устройств -
Это связано с тем, что Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило два недостатка в свой каталог известных эксплуатируемых уязвимостей (KEV), призывая федеральные агентства применить необходимые обновления к 26 марта 2024 года.
Уязвимости касаются ошибки раскрытия информации, затрагивающей устройства Android Pixel (CVE-2023-21237), и ошибки внедрения команд операционной системы в Sunhillo SureLine, которая может привести к выполнению кода с правами root (CVE-2021-36380).
Google в рекомендации, опубликованной в июне 2023 года, признал, что обнаружил признаки того, что "CVE-2023-21237 может использоваться ограниченно и целенаправленно". Что касается CVE-2021-36380, то в конце прошлого года Fortinet обнаружила, что ботнет Mirai под названием IZ1H9 использует эту уязвимость для подключения уязвимых устройств к DDoS-ботнету.
Недостатки перечислены ниже -
- CVE-2024-23225 - Проблема с повреждением памяти в ядре, которую злоумышленник с произвольными возможностями чтения и записи в ядро может использовать для обхода защиты памяти ядра
- CVE-2024-23296 - Проблема с повреждением памяти в операционной системе реального времени RTKit (RTOS), которую злоумышленник с произвольными возможностями чтения и записи ядра может использовать для обхода защиты памяти ядра
Обновления доступны для следующих устройств -
- iOS 16.7.6 и iPadOS 16.7.6 - iPhone 8, iPhone 8 Plus, iPhone X, iPad 5-го поколения, iPad Pro 9,7-дюймовый и iPad Pro 12,9-дюймовый 1-го поколения
- iOS 17.4 и iPadOS 17.4 - iPhone XS и более поздних версий, iPad Pro 12,9-дюймовый 2-го поколения и более поздних версий, iPad Pro 10,5-дюймовый, iPad Pro 11-дюймовый 1-го поколения и более поздних версий, iPad Air 3-го поколения и более поздних версий, iPad 6-го поколения и более поздних версий и iPad mini 5-го поколения и более поздних версий
Это связано с тем, что Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило два недостатка в свой каталог известных эксплуатируемых уязвимостей (KEV), призывая федеральные агентства применить необходимые обновления к 26 марта 2024 года.
Уязвимости касаются ошибки раскрытия информации, затрагивающей устройства Android Pixel (CVE-2023-21237), и ошибки внедрения команд операционной системы в Sunhillo SureLine, которая может привести к выполнению кода с правами root (CVE-2021-36380).
Google в рекомендации, опубликованной в июне 2023 года, признал, что обнаружил признаки того, что "CVE-2023-21237 может использоваться ограниченно и целенаправленно". Что касается CVE-2021-36380, то в конце прошлого года Fortinet обнаружила, что ботнет Mirai под названием IZ1H9 использует эту уязвимость для подключения уязвимых устройств к DDoS-ботнету.
