Apple тихо выпускает еще один патч для ошибки RCE Zero-Day

Apple незаметно выпустила дополнительные обновления для iOS, чтобы исправить активно используемую уязвимость системы безопасности нулевого дня, которую она исправила ранее в этом месяце на новых устройствах. Уязвимость, обнаруженная в WebKit, позволяет злоумышленникам создавать вредоносный веб-контент, позволяющий удаленное выполнение кода (RCE) на устройстве пользователя.

Обновление Выпущенная в среду iOS 12.5.6 распространяется на следующие модели: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch 6-го поколения.

Сомнительный недостаток(CVE-2022-32893) описывается Apple как проблема записи вне границ в WebKit. Это было исправлено в патче с улучшенной проверкой границ. Apple признала, что ошибка активно эксплуатируется, и призывает пользователей уязвимых устройств немедленно обновить ее.

Apple уже исправила уязвимость для некоторых устройств — наряду с уязвимостью ядра, отслеживаемой как CVE-2022-32894 — ранее в августе в iOS 15.6.1. Это Обновление которые касались iPhone 6S и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).

По словам евангелиста безопасности Пола Даклина, последняя серия исправлений, по-видимому, охватывает все основные аспекты Apple, добавляя защиту для iPhone с более ранними версиями iOS.

«Мы предполагаем, что Apple, должно быть, столкнулась, по крайней мере, с некоторыми высокопоставленными (или с высоким уровнем риска, или с тем и другим) пользователями старых телефонов, которые были скомпрометированы таким образом, и решила выдвинуть защиту для всех в качестве особой меры предосторожности. " он написал в должности в блоге Sophos Naked Security.

Двойное покрытие Apple для исправления ошибки в обеих версиях iOS связано с изменением того, какие версии платформы работают на каких iPhone, объяснил Даклин.

По его словам, до того, как Apple выпустила iOS 13.1 и iPadOS 13.1, iPhone и iPad использовали одну и ту же операционную систему, называемую iOS для обоих устройств. Теперь iOS 12.x распространяется на iPhone 6 и более ранние версии, а iOS 13.1 и более поздние версии работают на iPhone 6s и устройствах, выпущенных позже.

Еще одна уязвимость нулевого дня, которую Apple исправила ранее в этом месяце, CVE-2022-32894, представляла собой уязвимость ядра, которая может привести к захвату всего устройства. Но в то время как iOS 13 была затронута этим недостатком — и, таким образом, была исправлена ​​​​в более раннем обновлении — он не влияет на iOS 12, заметил Даклин, «что почти наверняка позволяет избежать риска полной компрометации самой операционной системы» на более старых версиях. устройства.

WebKit: широкая поверхность для кибератак

WebKit — это движок браузера, на котором работает Safari и все другие сторонние браузеры, работающие на iOS. Используя CVE-2022-32893, злоумышленник может встроить вредоносный контент в веб-сайт. Затем, если кто-то зайдет на сайт с зараженного iPhone, злоумышленник сможет удаленно запустить вредоносное ПО на своем устройстве.

WebKit в целом был занозой в боку Apple, когда дело доходит до подвергания пользователей уязвимостям, потому что он распространяется не только на iPhone и другие устройства Apple, но и на другие браузеры, которые его используют, включая Firefox, Edge и Chrome, потенциально подвергая риску миллионы пользователей. данный баг.

«Помните, что ошибки WebKit существуют, грубо говоря, на программном уровне ниже Safari, так что собственный браузер Apple Safari — не единственное приложение, подверженное риску этой уязвимости», — заметил Даклин.

Кроме того, любое приложение, которое отображает веб-контент на iOS для целей, отличных от общего просмотра, например, на своих страницах справки, его "Около" экране или даже во встроенном «минибраузере» — использует WebKit под капотом, добавил он.

«Другими словами, просто «избегание Safari» и использование стороннего браузера не является подходящим решением [для ошибок WebKit]», — написал Даклин.

Apple под атакой

В то время как пользователи и профессионалы традиционно считали платформы Apple Mac и iOS более безопасными, чем Microsoft Windows — и в целом это было верно по ряду причин — ситуация начинает меняться, говорят эксперты.

Действительно, новый ландшафт угроз демонстрирует больший интерес к более распространенным веб-технологиям, а не к самой ОС. расширил цель на спине Apple, согласно отчет об угрозе выпущен в январе, и это отражает стратегия компании по выпуску исправлений.

В этом году Apple исправила как минимум четыре уязвимости нулевого дня, а также два исправления для предыдущих уязвимостей iOS и macOS. январь и один в февраль — последний из которых исправил еще одну активно эксплуатируемую проблему в WebKit.

Более того, в прошлом году 12 из 57 угроз нулевого дня, обнаруженных исследователями из Google Project Zero гусеничные были связаны с Apple (то есть более 20%), с проблемами, затрагивающими macOS, iOS, iPadOS и WebKit.