Уязвимость, получившая код CVE-2023-38606, представляет собой аппаратную функцию, которая не используется в прошивке. Вероятно, она нужна для тестирования или отладки инженерами Apple, сообщили в "Лаборатории Касперского".

Так, мошенник сначала отправляет своей жертве скрытое сообщение в iMessage, сопровождая его эксплойтом типа zero-click. Затем он получает возможность исполнять код и повышать привилегии при помощи CVE-2023-38606.

"Данная уязвимость доказывает, что даже самые современные аппаратные средства защиты бессильны перед лицом изощренного злоумышленника, пока существуют аппаратные функции, позволяющие эти средства защиты обойти", - подчеркнул ведущий исследователь киберугроз компании Борис Ларин.

Ранее в приложениях на языке Java обнаружили серьезные уязвимости.