Apple heeft opnieuw een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in de kernel van iOS, alsmede de in Chrome aangevallen libvpx-kwetsbaarheid verholpen. Via de zeroday (CVE-2023-42824) kan een aanvaller die al toegang tot de iPhone heeft, bijvoorbeeld via een malafide app of andere kwetsbaarheid, zijn rechten verhogen.

Apple geeft geen details over de aanvallen, behalve dat die hebben plaatsgevonden tegen iPhones met iOS-versies voor iOS 16.6. Het zerodaylek is verholpen in iOS 17.0.3 en iPadOS 17.0.3. Twee weken geleden kwam Apple met updates voor drie zerodays in iOS, terwijl begin september er patches verschenen voor twee aangevallen zerodaylekken gebruikt voor het infecteren van iPhones met de Pegasus-spyware.

Naast de zeroday in de iOS-kernel heeft Apple ook een kwetsbaarheid in Libvpx (CVE-2023-5217) verholpen, die eerder als zeroday is gebruikt om gebruikers van Google Chrome met spyware te infecteren. Libvpx is een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-mediastream kan er een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser of e-mailclient kan uitvoeren. Om te worden aangevallen zou een slachtoffer een malafide of gecompromitteerde website moeten bezoeken.