Спецпроекты

Безопасность Техника

Apple проворонила брешь в iOS, iPadOS и macOS. В нее успели ринуться хакеры

О критической проблеме в движке WebKit киберзлоумышленникам стало известно до того, как ее удалось устранить. Apple и эксперты по безопасности рекомендуют срочно установить обновления.

И снова произвольный код

Apple выпустила экстренный патч к уязвимости в компоненте WebKit, которым злоумышленники уже активно пользовались для взлома смартфонов iPhone и персональных компьютеров. Уязвимость нулевого дня CVE-2023-23529 может вызывать отказ в работе операционной системы или открывает возможность для запуска произвольного кода.

Баг представлял угрозу для операционных систем iOS, iPadOS и macOS, а также для браузера Safari до версии 16.3.1 в версиях macOS BigSur и Monterey. Для эксплуатации злоумышленникам достаточно было заманить жертву на специально подготовленную вредоносную веб-страницу.

Обновления iOS и iPadOS до версии 16.3.1, а macOS — до версии 13.2.1 устраняют проблему. Она возникла из-за недостаточной проверки входящих данных.

Список уязвимых устройств достаточно обширен: в него попали и старые, и новые гаджеты. Затронуты модели iPhone, начиная с версии 8, все модели iPadPro, а также iPadAir, начиная с третьего поколения, iPad, начиная с пятого поколения, и iPad, тоже начиная с пятого поколения.

Экстренный патч устраняет эксплуатируемую уязвимость в продуктах Apple

Выпущенные обновления также устраняют другой опасный баг — CVE-2023-23514, который позволял запускать произвольный код с привилегиями уровня ядра. Проблема была вызвана возможностью повторно использовать области памяти ядра после их освобождения.

Об уязвимости хакеры узнали первыми

В Apple заявили о том, что CVE-2023-23529 уже активно эксплуатируется злоумышленниками, но пока не опубликовала никаких подробностей. Вероятно в компании ждут, чтобы как можно больше пользователей установили необходимые обновления. Это позволит избежать появления множества массовой эксплуатации уязвимости и лавины вредоносных программ к ней.

«Затягивать с обновлениями, если есть возможность их установить, категорически не стоит, поскольку смартфоны iPhone — это приоритетная мишень для киберкриминала, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Хотя уязвимости в их программных оболочках находятся нередко, как правило их устраняют до того, как их начинает эксплуатировать криминал. Сейчас ситуация выглядит иначе».

CVE-2023-23529 — первая обнаруженная в 2023 г. уязвимость нулевого дня, которую устраняет Apple. В конце 2022 г. в WebKit была выявлена другая, похожая, уязвимость CVE-2022-42856, исправления к которой Apple в итоге опубликовала даже для старых своих устройств. Правда, это случилось уже только в январе 2023 г.

Следует ли ожидать чего-то подобного в связи с CVE-2023-23529, пока неясно.

Роман Георгиев

Короткая ссылка