Apple heeft noodbeveiligingsupdates uitgebracht om twee problemen op te lossen zero-day kwetsbaarheden die actief werden uitgebuit, brengt het totaal op 20 zero-days hersteld in het lopende jaar. Deze kwetsbaarheden hadden gevolgen voor een groot aantal Apple-apparaten, inclusief iPhones, iPads, en Macs, waardoor snelle actie nodig is om gebruikers te beschermen.
CVE-2023-42916 en CVE-2023-42917
De geïdentificeerde kwetsbaarheden, CVE-2023-42916 en CVE-2023-42917, bevonden zich in de WebKit-browserengine, waardoor aanvallers gevoelige informatie kunnen compromitteren via een leeszwakte buiten het bereik en willekeurige code-uitvoering kunnen bereiken via een geheugencorruptiebug. Apple reageerde onmiddellijk, het erkennen van mogelijke exploitatie van iOS-versies ouder dan iOS 16.7.1.
De uitgebreide lijst met getroffen Apple-apparaten omvat iPhone-modellen van XS en hoger, iPad Pro-generaties, iPad Air, iPad, iPad mini, en verschillende Macs met macOS Monterey, Ventura, en Sonoma.
De Threat Analysis Group van Google (LABEL) speelde een cruciale rol bij het blootleggen van deze kwetsbaarheden, waarbij beveiligingsonderzoeker Clément Lecigne de leiding heeft bij het rapporteren van beide zero-days. Hoewel Apple geen details heeft verstrekt over lopende exploits, Google TAG-onderzoekers leggen vaak zero-days bloot die verband houden met door de staat gesponsorde spywarecampagnes die zich richten op spraakmakende personen zoals journalisten, politici, en dissidenten.
Opmerkelijk, CVE-2023-42916 en CVE-2023-42917 vertegenwoordigen de 19e en 20e zero-day-kwetsbaarheden die Apple heeft aangepakt in 2023. De openbaarmaking door Google TAG van nog een zero-day (CVE-2023-42824) Het richten op de XNU-kernel bracht een exploit aan het licht die de privileges op iPhones en iPads kon escaleren.
De toewijding van Apple aan cyberbeveiliging werd verder onderstreept door de recente patching van drie zero-day-kwetsbaarheden (CVE-2023-41991, CVE-2023-41992, en CVE-2023-41993) gerapporteerd door Citizen Lab en Google TAG. deze kwetsbaarheden, ooit uitgebuit, heeft de inzet van de beruchte Predator-spyware door bedreigingsactoren vergemakkelijkt.
Citizen Lab's onthullingen over twee extra zero-days (CVE-2023-41061 en CVE-2023-41064) in september voegde complexiteit toe aan het zich ontvouwende verhaal. Uitgebuit als onderdeel van de BLASTPASS zero-click exploit-keten, deze kwetsbaarheden speelden een belangrijke rol bij het installeren van de Pegasus-spyware van NSO Group.
De tijdlijn van de proactieve reacties van Apple gaat terug tot februari, waar een WebKit zero-day (CVE-2023-23529) werd snel aangepakt. De daaropvolgende maanden waren getuige van een reeks interventies, met betrekking tot nuldagen in juli (CVE-2023-37450 en CVE-2023-38606), Juni (CVE-2023-32434, CVE-2023-32435, en CVE-2023-32439), Mei (CVE-2023-32409, CVE-2023-28204, en CVE-2023-32373), en april (CVE-2023-28206 en CVE-2023-28205).