Apple проворонила брешь в iOS, iPadOS и macOS. В нее успели ринуться хакеры
О критической проблеме в движке WebKit киберзлоумышленникам стало известно до того, как ее удалось устранить. Apple и эксперты по безопасности рекомендуют срочно установить обновления.
И снова произвольный код
Apple выпустила экстренный патч к уязвимости в компоненте WebKit, которым злоумышленники уже активно пользовались для взлома смартфонов iPhone и персональных компьютеров. Уязвимость нулевого дня CVE-2023-23529 может вызывать отказ в работе операционной системы или открывает возможность для запуска произвольного кода.
Баг представлял угрозу для операционных систем iOS, iPadOS и macOS, а также для браузера Safari до версии 16.3.1 в версиях macOS BigSur и Monterey. Для эксплуатации злоумышленникам достаточно было заманить жертву на специально подготовленную вредоносную веб-страницу.
Обновления iOS и iPadOS до версии 16.3.1, а macOS — до версии 13.2.1 устраняют проблему. Она возникла из-за недостаточной проверки входящих данных.
Список уязвимых устройств достаточно обширен: в него попали и старые, и новые гаджеты. Затронуты модели iPhone, начиная с версии 8, все модели iPadPro, а также iPadAir, начиная с третьего поколения, iPad, начиная с пятого поколения, и iPad, тоже начиная с пятого поколения.
Выпущенные обновления также устраняют другой опасный баг — CVE-2023-23514, который позволял запускать произвольный код с привилегиями уровня ядра. Проблема была вызвана возможностью повторно использовать области памяти ядра после их освобождения.
Об уязвимости хакеры узнали первыми
В Apple заявили о том, что CVE-2023-23529 уже активно эксплуатируется злоумышленниками, но пока не опубликовала никаких подробностей. Вероятно в компании ждут, чтобы как можно больше пользователей установили необходимые обновления. Это позволит избежать появления множества массовой эксплуатации уязвимости и лавины вредоносных программ к ней.
«Затягивать с обновлениями, если есть возможность их установить, категорически не стоит, поскольку смартфоны iPhone — это приоритетная мишень для киберкриминала, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Хотя уязвимости в их программных оболочках находятся нередко, как правило их устраняют до того, как их начинает эксплуатировать криминал. Сейчас ситуация выглядит иначе».
CVE-2023-23529 — первая обнаруженная в 2023 г. уязвимость нулевого дня, которую устраняет Apple. В конце 2022 г. в WebKit была выявлена другая, похожая, уязвимость CVE-2022-42856, исправления к которой Apple в итоге опубликовала даже для старых своих устройств. Правда, это случилось уже только в январе 2023 г.
Следует ли ожидать чего-то подобного в связи с CVE-2023-23529, пока неясно.