Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας έκτακτης ανάγκης για να διορθώσει δύο τρωτά σημεία zero-day που αξιοποιήθηκαν σε επιθέσεις σε συστήματα Mac που βασίζονται στην Intel.
“Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης.” είπε η εταιρεία σε γνωμοδότηση που εκδόθηκε την Τρίτη.
Τα δύο σφάλματα εντοπίστηκαν στα στοιχεία macOS Sequoia JavaScriptCore (CVE-2024-44308) και WebKit (CVE-2024-44309) του macOS.
Το ελάττωμα JavaScriptCore CVE-2024-44308 επιτρέπει στους εισβολείς να επιτύχουν απομακρυσμένη εκτέλεση κώδικα μέσω κακόβουλα δημιουργημένου περιεχομένου ιστού. Το άλλο ελάττωμα, το CVE-2024-44309, επιτρέπει επιθέσεις δέσμης ενεργειών μεταξύ τοποθεσιών (CSS).
Η εταιρεία λέει ότι αντιμετώπισε τα ελαττώματα ασφαλείας για συσκευές που λειτουργούν macOS Sequoia 15.1.1.
Καθώς τα ίδια εξαρτήματα βρίσκονται σε άλλα λειτουργικά συστήματα της Apple, επιδιορθώθηκε επίσης iOS 17.7.2 και iPadOS 17.7.2, iOS 18.1.1 και iPadOS 18.1.1και visionOS 2.1.1.
Ενώ η Apple λέει ότι και τα δύο ελαττώματα ανακαλύφθηκαν από τους Clément Lecigne και Benoît Sevens του Threat Analysis Group της Google, η εταιρεία δεν έδωσε περισσότερες λεπτομέρειες σχετικά με τον τρόπο εκμετάλλευσής τους.
Η BleepingComputer επικοινώνησε με την Google για να μάθει πώς έγινε η εκμετάλλευση των ελαττωμάτων, αλλά δεν έχει λάβει ακόμη απάντηση.
Με αυτά τα δύο τρωτά σημεία, η Apple έχει διορθώσει έξι μηδενικές ημέρες μέχρι στιγμής το 2024, με την πρώτη τον Ιανουάριο, δύο τον Μάρτιο και την τέταρτη τον Μάιο.
Αυτός ο αριθμός είναι σημαντικά καλύτερος από πέρυσι, όταν η Apple διόρθωσε συνολικά 20 ελαττώματα μηδενικής ημέρας που εκμεταλλεύτηκαν στη φύση, μεταξύ των οποίων:
VIA: bleepingcomputer.com