Firma Apple udostępniła awaryjną aktualizację oprogramowania, która usuwa trzy luki typu zero-day, które były aktywnie wykorzystywane przez osoby atakujące. Błędy dotyczyły przeglądarki Safari, a także platform oprogramowania dla komputerów Apple Watch, iPhone, iPad i Mac.
Pierwsza luka ma przypisany numer CVE-2023-41991 – jest powiązana z narzędziami Security Framework i pozwala „ominąć weryfikację podpisu”. Druga, oznaczona numerem CVE-2023-41992, to luka w zabezpieczeniach Kernel Framework – można ją wykorzystać do eskalacji uprawnień w systemie. Wreszcie trzeci, CVE-2023-41993, znajduje się w silniku przeglądarki WebKit i umożliwia „wykonanie dowolnego kodu za pośrednictwem złośliwych stron”.
Luki dotyczyły szerokiej gamy urządzeń Apple: iPhone’a 8 i wszystkich nowszych modeli; iPad mini 5. generacji i nowsze; inteligentne zegarki począwszy od Apple Watch Series 4; oraz komputery Mac z systemem macOS Monterey i nowszym. Błędy oprogramowania zostały naprawione w aktualizacjach iOS 16.7, iOS 17.0.1, iPadOS 16.7, iPadOS 17.0.1, macOS Monterey 12.7, macOS Ventura 13.6, watchOS 9.6.3, watchOS 10.0.1 i Safari 16.6.1.
Luki w zabezpieczeniach oprogramowania Apple odkryły Bill Marczak z Citizen Lab na Uniwersytecie w Toronto (Kanada) i Maddie Stone z Threat Analysis Group w Google.
