На этой неделе Apple выпустила срочные обновления безопасности для устранения уязвимостей нулевого дня в старых моделях iPhone, iPad и iPod.
Патчи, выпущенные в среду, решают проблему записи за пределы сети, которой может воспользоваться злоумышленник, что позволит ему получить контроль над уязвимым устройством. Агентство США по кибербезопасности и инфраструктуре (CISA) сегодня призвало пользователей и ИТ-администраторов просмотреть рекомендации Apple HT213428 и применить все необходимые обновления.
Apple не сразу ответила на просьбу прокомментировать, были ли уязвимости доведены до ее сведения посредством активных эксплойтов, но в своем обновлении безопасности говорится: «Apple известно об отчете о том, что эта проблема могла активно использоваться».
Уязвимости программного обеспечения перечислены в базе данных Common Vulnerabilities and Exposures (CVE) — системе, финансируемой подразделением Министерства внутренней безопасности США (DHS) для обеспечения публичного раскрытия информации об уязвимостях и угрозах безопасности.
«Проблема заключается в том, что если веб-страница построена определенным образом, это может привести к выполнению кода на устройстве за пределами обычного содержания и эффективно создать ситуацию с вредоносным ПО на устройстве, которая может скомпрометировать данные, контакты, местоположение, вставить вредоносные программного обеспечения. предметы и т. д. сказал Джек Голд, главный аналитик J. Gold Associates, LLC.
«Так что это большая проблема», — добавил он.
Уязвимости затрагивают iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения), а также компьютеры с более ранними версиями macOS.
По словам Голда, тот факт, что проблема затрагивает эту группу старых устройств, а не новых моделей, означает, что в опасности находится относительно небольшое количество устройств. Тем не менее, по его словам, любой, у кого есть одно из старых устройств, должен обновиться как можно скорее.
Хотя предлагаемое исправление для старых устройств может показаться несущественным, киберпреступники особенно любят старые, неисправленные технологии, особенно если уязвимость дает им полный контроль и возможность доступа к другим системам и службам.
«Атакующий может заманить потенциальную жертву на специально созданный веб-сайт или использовать вредоносную рекламу для компрометации уязвимой системы, используя эту уязвимость», — говорится в сегодняшнем сообщении в блоге Malwarebytes. «Поскольку уязвимость существует в программном обеспечении Apple для рендеринга HTML (WebKit). WebKit работает со всеми веб-браузерами iOS и Safari, поэтому возможными целями являются iPhone, iPad и Mac, которые могут быть обмануты для выполнения несанкционированного кода.
Проблема устранена в iOS 15.6.1, iPadOS 15.6.1 и macOS Monterey 12.5.1. Apple рекомендует пользователям обновляться до последних версий своего программного обеспечения.
© 2022 IDG Communications, Inc.