Apple исправляет активное использование нулевого дня в своей экосистеме
Apple недавно выпустила серию обновлений для своих операционных систем и браузера Safari, устраняющих несколько уязвимостей, которые активно использовались неизвестными злоумышленниками. Среди этих уязвимостей две нулевых дня, которые использовались в кампании наблюдения под названием Operation Triangulation с 2019 года.
Первая уязвимость, CVE-2023-32434, представляет собой дефект целочисленного переполнения в ядре, который может быть использован вредоносным приложением для выполнения произвольного кода с привилегиями ядра. Вторая уязвимость, CVE-2023-32435, представляет собой проблему повреждения памяти в WebKit, которая может привести к выполнению произвольного кода при обработке специально созданного веб-контента.
Apple признала, что эти две уязвимости могли активно использоваться в версиях iOS, выпущенных до iOS 15.7. В своем анализе исследователи обнаружили шпионское ПО, известное как TriangleDB, которое было доставлено с помощью атак с нулевым щелчком через iMessages, содержащих эксплойт для уязвимости удаленного выполнения кода.
Шпионское ПО находится исключительно в памяти
Имплантат работает исключительно в памяти, что затрудняет его обнаружение, и имеет различные возможности для сбора и отслеживания данных, включая взаимодействие с файловой системой, управление процессами, извлечение элементов цепочки для ключей для сбора учетных данных и мониторинг геолокации.
В дополнение к нулевым дням Apple также исправила еще одну уязвимость, CVE-2023-32439, которая могла привести к выполнению произвольного кода при обработке вредоносного веб-контента. Обновление доступно для различных платформ, включая iOS, iPadOS, macOS, watchOS и Safari.
Благодаря этим последним исправлениям общее количество уязвимостей нулевого дня, устраненных Apple в этом году, достигло девяти. В предыдущих обновлениях Apple устранила другие уязвимости, такие как уязвимость WebKit (CVE-2023-23529), которая позволяла удаленное выполнение кода, и две ошибки (CVE-2023-28205 и CVE-2023-28206), которые позволяли выполнять код с повышенными привилегиями.