Apple vydal bezpečnostní záplaty pro iOS, iPadOS, macOS, tvOS, watchOS a webový prohlížeč Safari, které řeší četné bezpečnostní chyby, kromě oprav backportingu pro dvě nedávno zveřejněné zero-days na starší zařízení.
To zahrnuje aktualizace 12 bezpečnostních zranitelností v iOS a iPadOS zahrnujících AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing a WebKit. macOS Sonoma 14.2 řeší 39 nedostatků a 6 chyb ovlivňujících knihovnu ncurses.
Mezi nedostatky patří CVE-2023-45866, kritický bezpečnostní problém v Bluetooth, který by mohl umožnit útočníkovi v privilegovaném síťovém postavení vkládat úhozy pomocí falšování klávesnice.
Tuto chybu zabezpečení odhalil bezpečnostní výzkumník SkySafe Marc Newlin. Byl opraven v iOS 17.2, iPadOS 17.2 a macOS Sonoma 14.2 s vylepšenými kontrolami, uvedl výrobce iPhone.
Apple také vydal Safari 17.2, který obsahuje opravy dvou chyb WebKit – CVE-2023-42890 a CVE-2023-42883 – které by mohly vést ke spuštění libovolného kódu a stavu odmítnutí služby (DoS). Aktualizace je k dispozici pro počítače Mac se systémem macOS Monterey a macOS Ventura.
iOS 17.2 a iPadOS 17.2 kromě řešení chyby Siri, která by mohla umožnit protivníkovi s fyzickým přístupem získat citlivá data, obsahuje bezpečnostní upgrade ve formě ověření kontaktního klíče, které zajišťuje soukromí konverzací iMessage.
„IMessage Contact Key Verification posouvá stav techniky nasazování Key Transparency tím, že uživatelská zařízení sama ověřují důkazy konzistence a zajišťují konzistenci systému KT napříč všemi uživatelskými zařízeními pro účet,“ poznamenal Apple v technickém vysvětlení v říjnu 2023.
„Tato vylepšení chrání před kompromitací klíčových adresářů i kompromitací samotné služby transparentnosti a dokážou detekovat rozdělené pohledy prezentované oběma službami.“
Současně s aktualizacemi Apple také vydal iOS 16.7.3 a iPadOS 16.7.3, aby odstranil až osm bezpečnostních problémů, z nichž dva se týkají WebKitu (CVE-2023-42916 a CVE-2023-42917) a byly zveřejněny.
Obě chyby zabezpečení byly opraveny také v tvOS 17.2 a watchOS 10.2. Dosud nejsou k dispozici žádné další podrobnosti týkající se povahy zneužívání a aktérů hrozeb, kteří je mohou používat.
Zdroj: thehackernews.com