Apple выпустила экстренные обновления безопасности для устранения двух уязвимостей нулевого дня, которые использовались в атаках на системы Mac на базе Intel.
Уязвимости нулевого дня (0-day) — неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы.
«Apple известно о сообщении, что эта проблема могла быть использована», - говорится в опубликованном во вторник сообщении компании.
Две ошибки были обнаружены в компонентах macOS Sequoia:
- JavaScriptCore (CVE-2024-44308) позволяет злоумышленникам добиться удаленного выполнения кода через злонамеренно созданный веб-контент;
- WebKit (CVE-2024-44309) позволяет осуществлять атаки на межсайтовый скриптинг (CSS).
Компания утверждает, что устранила дыры безопасности в macOS Sequoia 15.1.1. Поскольку те же компоненты встречаются и в других операционных системах Apple, они также были исправлены в iOS 17.7.2 и iPadOS 17.7.2, iOS 18.1.1 и iPadOS 18.1.1, а также visionOS 2.1.1.
Хотя Apple утверждает, что оба дефекта были обнаружены Клеманом Лецином и Бенуа Севеном из группы анализа угроз Google, компания не предоставила более подробной информации о том, как они эксплуатировались.
BleepingComputer связался с Google, чтобы узнать, как были использованы дефекты, но получил ответ, что на данный момент им больше нечем поделиться. С учетом этих двух уязвимостей Apple устранила уже шесть «нулевых дней» в 2024 году: первую - в январе, вторую - в марте и четвертую - в мае.