Apple выпустила очередные патчи, которые рекомендуется максимально оперативно установить, поскольку они закрывают уязвимость нулевого дня (0-day) в iPhone.
Корпорация опубликовала уведомление о киберугрозе, в котором утверждается, что Apple в курсе сообщений о возможной эксплуатации этой уязвимости в реальных атаках.
В сущности, это два бага под идентификаторами CVE-2024-23225 (в ядре iOS) и CVE-2024-23296 (в RTKit) — оба позволяют обойти защиту памяти, если у атакующего будет возможность читать и записывать на уровне ядра.
Разработчики устранили бреши с выходом версий iOS 17.4, iPadOS 17.4, iOS 16.76 и iPad 16.7.6. Список затронутых мобильных устройств выглядит так:
- iPhone XS и более поздние модели;
- iPhone 8;
- iPhone 8 Plus;
- iPhone X;
- iPad пятого поколения;
- iPad Pro (9,7 дюйма);
- iPad Pro (12,9 дюйма).
Пока непонятно, как именно Apple узнала о 0-day, также нет точной информации о киберпреступниках, эксплуатирующих её в атаках. Как правило, такие бреши используются для кибершпионажа в сложных таргетированных кампаниях.