Спецпроекты

Безопасность Пользователю Техника

Apple исправляет «дыру» уровня ядра в iPhone и iPad, которым исполнилось по 8 лет

Компания Apple обновила прошлогоднюю версию операционной системы для iPhone и iPad из-за активной эксплуатации двух уязвимостей в ней. 16 версию операционки поддерживают устройства, выпущенные в 2017 и даже в 2015 годах.

Реактуализация

Корпорация Apple опубликовала критические важные обновления для устаревших моделей iPhone и iPad, устраняющие сразу две уязвимости нулевого дня, которые уже активно используются хакерами.

Неделю назад компания выпустила обновления для актуальных моделей, но теперь решила добавить защиту и для более старых устройств. Как указывается в бюллетене Apple, обе уязвимости активно эксплуатируются в отношении устройств на базе прежних версий iOS - до 16.6 включительно.

Первая из двух уязвимостей - CVE-2023-42824 - допускает повышение привилегий. Непосредственной причиной является ошибка в ядре XNU, однако она предполагает возможность повышения привилегий только на уязвимых iPhone и iPad.

Apple обновила ОС для iPhone и iPad из-за активной эксплуатации двух уязвимостей в ней

Вторая проблема CVE-2023-5217 - это типичная ошибка переполнения буфера кучи в опенсорсной библиотеке libvpx, предназначенной для кодирования видео. При успешной эксплуатации злоумышленники могут осуществить запуск произвольного кода.

В то время как Apple пока не подтвердила случаев успешной эксплуатации второй уязвимости, ранее её же вынуждены были «лечить» в своих продуктах Google и Microsoft. Причём Google пометил этот «баг» как активно эксплуатируемый.

CVE-2023-5217 обнаружил эксперт Google Threat Analysis Group Клеман Лесинь (Clément Lecigne). Google TAG неоднократно выявляла уязвимости нулевого дня, которыми различные спецслужбы пользовались для установки шпионского ПО на личные устройства неугодных тем или иным режимам.

Старое, но рабочее

Указанные выше уязвимости исправлены в специальных релизах iOS и iPadOS под индексом 16.7.1 (актуальной считается версия 17.0.3).

В качестве целевых продуктов указаны: iPhone 8 и более поздние модели, все модели iPad Pro, iPad Air третьего поколения и новее, iPad 5-го поколения и новее, и iPad mini пятого поколения и новее.

Версии iOS 16 и iPadOS 16 вышли осенью 2022 года, однако они поддерживают ещё такие устройства как iPad Pro первого поколения (2015 года выпуска) и iPhone 8 и X (2017 года). Как раз на 16-й версии формально заканчивается их жизненный цикл.

Однако пока что все эти устройства поддерживаются.

«Это была бы «исключительная мера для исключительного случая», если бы эти устройства были уже полностью сняты с поддержки, - полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Как правило, вендора не волнует, что происходит с неподдерживаемыми продуктами. Но перечисленные в бюллетене Apple смартфоны и планшеты с поддержки ещё не сняты. Просто 16 версия, вышедшая только в прошлом году, уже не считается актуальной. В остальном это вполне штатное мероприятие».

CISA, американской государственное агентство, осуществляющее координацию мер по защите цифровой инфраструктуры, внесло эти уязвимости в список актуальных, что автоматически означает предписание всем госорганам в срочном порядке обновить имеющийся у них парк устройств, которые могут содержать данную уязвимость.

Роман Георгиев

Короткая ссылка