705698
Первая уязвимость (CVE-2024-23225) содержится в ядре системы, вторая (CVE-2024-23296) – затрагивает компонент RTKit. Обе ошибки связаны с повреждением памяти и позволяют злоумышленнику обойти защиту памяти ядра и осуществлять чтение и запись на уровне ядра системы.
Ранее компания сообщала об устранении этих же уязвимостей «нулевого дня» в операционных системах iOS и iPadOS версий 16.7.6 и 17.4.
Одна из уязвимостей «нулевого дня» (CVE-2024-23225) затрагивает операционные системы macOS Ventura, macOS Sonoma, macOS Monterey, watchOS, tvOS и visionOS. Другая уязвимость «нулевого дня» (CVE-2024-23296) затрагивает только macOS Sonoma, watchOS, tvOS и visionOS.
В операционных системах macOS Ventura 13.6.5, macOS Monterey 12.7.4 и macOS Sonoma 14.4 устранено в общей сложности 74 уязвимости, при чём большая их часть затрагивает операционную систему Sonoma. Их эксплуатация может позволить злоумышленнику выполнить произвольный код (в том числе с привилегиями ядра), повысить привилегии, обойти ограничения безопасности и настройки конфиденциальности, раскрыть память процесса и данные о местоположении, прочитать произвольные файлы, получить доступ к конфиденциальным данным пользователя, изменять и перезаписывать защищенные части файловой системы, подделывать клавиатуру и осуществлять нажатия клавиш, считывать отпечатки пальцев пользователя, получить доступ к фотографиям, контактам, почте и подключенным через Bluetooth микрофонам, создавать ссылки на защищенные области диска, вызвать неожиданное завершение работы приложения и ошибку типа «отказ в обслуживании».
В браузере Safari 17.4 устранено шесть уязвимостей, пять из которых затрагивают движок WebKit. Уязвимости связаны с некорректным отображением вкладок в режиме частного доступа, обходом ограничений безопасности, раскрытием пользовательских данных и отпечатков пальцев.
В операционных системах watchOS 10.4 и tvOS 17.4 устранено по 24 уязвимости. Их эксплуатация может позволить злоумышленнику выполнить произвольный код (в том числе с привилегиями ядра), повысить привилегии, обойти защиту памяти ядра, получить доступ к конфиденциальным данным пользователя и подключенным через Bluetooth микрофонам, вызвать неожиданное завершение работы приложения и ошибку типа «отказ в обслуживании».
В операционной системе для гарнитуры дополненной и виртуальной реальности visionOS 1.1 устранено 16 уязвимостей. Их эксплуатация может позволить злоумышленнику выполнить произвольный код, обойти защиту памяти ядра, получить доступ к конфиденциальным данным пользователя, подделать системные уведомления и пользовательский интерфейс, раскрыть памяти процесса, считывать отпечатки пальцев пользователя, вызвать неожиданное завершение работы приложения.
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
