710216
Уязвимость «нулевого дня» CVE-2024-23296 затрагивает компонент RTKit. Она связана с повреждением памяти и позволяет злоумышленнику обойти защиту памяти ядра и осуществлять чтение и запись на уровне ядра системы. Ошибка исправлена в операционной системе macOS Monterey. Ранее эта уязвимость была устранена в операционных системах macOS Sonoma, macOS Ventura, watchOS, tvOS, visionOS, iOS и iPadOS версий 16.7.8.
В операционных системах iOS и iPadOS версий 17.6 исправлено 35 уязвимостей, а версий 16.7.9 – 26 уязвимостей. Их эксплуатация может позволить злоумышленнику повысить привилегии, обойти ограничения безопасности и настройки конфиденциальности, раскрыть данные о местоположении, прочитать произвольные файлы, получить доступ к конфиденциальным данным пользователя, просматривать данные с экрана блокировки и историю браузера Safari, провести атаку типа «межсайтовое выполнение сценариев» (XSS-атаку), вызвать неожиданное завершение работы приложения и ошибку типа «отказ в обслуживании».
В операционных системах macOS Ventura 13.6.8, macOS Monterey 12.7.6 и macOS Sonoma 14.6 устранено в общей сложности 74 уязвимости, причём большая часть из них затрагивает операционную систему Sonoma. Их эксплуатация может позволить злоумышленнику повысить привилегии, обойти ограничения безопасности и настройки конфиденциальности, раскрыть данные о местоположении, прочитать, изменить или перезаписать произвольные файлы, подменить пользовательский интерфейс, получить доступ к конфиденциальным данным пользователя, вызвать неожиданное завершение работы приложения, провести XSS-атаку.
В браузере Safari 17.6 исправлено 9 уязвимостей, в том числе 8 уязвимостей в движке WebKit. Они позволяют злоумышленнику подменить пользовательский интерфейс, вызвать неожиданное завершение работы приложения, получить доступ к конфиденциальным данным, провести XSS-атаку.
В операционных системах watchOS 10.6 и tvOS 17.6 устранено 29 и 19 уязвимостей соответственно. Их эксплуатация может позволить злоумышленнику обойти ограничения безопасности и настройки конфиденциальности, вызвать неожиданное завершение работы системы, получить доступ к конфиденциальным данным пользователя и данным о местоположении, просматривать данные с экрана блокировки, определить структуру памяти ядра, провести XSS-атаку.
В операционной системе для гарнитуры дополненной и виртуальной реальности visionOS 1.3 устранено 19 уязвимостей. Их эксплуатация может позволить злоумышленнику обойти ограничения безопасности, определить структуру памяти ядра, подменить сетевые пакеты, вызвать неожиданное завершение работы системы и ошибку типа «отказ в обслуживании», провести XSS-атаку.
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru