Apple виправляє подвійний нульовий день у браузері та ядрі – оновіть зараз!

Apple щойно випустила екстрене оновлення для двох помилок нульового дня, які, очевидно, є активно експлуатується.

Існує дірка для віддаленого виконання коду (RCE). CVE-20220-32893 у програмному забезпеченні рендерингу HTML (WebKit) від Apple, за допомогою якого замінена веб-сторінка може обманом змусити iPhone, iPad і Mac запустити несанкціонований і ненадійний програмний код.

Простіше кажучи, кіберзлочинець може встановити зловмисне програмне забезпечення на ваш пристрій, навіть якщо все, що ви робили, — це переглядали невинну веб-сторінку.

Пам’ятайте, що WebKit — це частина браузера Apple, яка знаходиться під абсолютно всім програмним забезпеченням веб-рендерингу на мобільних пристроях Apple.

Комп’ютери Mac можуть запускати версії Chrome, Chromium, Edge, Firefox та інші браузери «не Safari» з альтернативними механізмами HTML і JavaScript (наприклад, Chromium використовує Блимати та V8; Firefox базується на Gecko та Носоріг).

Але на iOS і iPadOS правила Apple App Store наполягають на тому, що будь-яке програмне забезпечення, яке пропонує будь-які функції веб-перегляду має базуватися на WebKit, включаючи такі браузери, як Chrome, Firefox і Edge, які не покладаються на код веб-перегляду Apple на інших платформах, де ви можете їх використовувати.

Крім того, будь-які програми Mac і iDevice зі спливаючими вікнами, наприклад Документи or МЕНЮ екрани використовують HTML як свою «мову відображення» – програмна зручність, яка, зрозуміло, популярна серед розробників.

Програми, які це роблять, майже напевно використовують програми Apple Web View системних функцій і WebView безпосередньо поверх WebKit, тому на нього впливають будь-які вразливості в WebKit.

Команда CVE-2022-32893 отже, вразливість потенційно може вплинути на набагато більше програм і системних компонентів, ніж просто на власний браузер Safari від Apple, тому просте уникнення Safari не можна вважати обхідним шляхом, навіть на комп’ютерах Mac, де дозволено використовувати браузери, відмінні від WebKit.

Потім є другий нульовий день

Існує також дірка виконання коду ядра CVE-2022-32894, за допомогою якого зловмисник, який уже закріпився на вашому пристрої Apple, скориставшись згаданою вище помилкою WebKit…

…може перейти від керування лише одним додатком на вашому пристрої до керування самим ядром операційної системи, отримуючи тим самим «адміністративні суперповноваження», які зазвичай зарезервовані для самої Apple.

Це майже напевно означає, що зловмисник може:

• Стежте за всіма програмами, які зараз запущені
• Завантажуйте та запускайте додаткові програми, не відвідуючи App Store
• Доступ майже до всіх даних на пристрої
• Змінити параметри безпеки системи
• Отримайте своє місцезнаходження
• Зробіть скріншоти
• Використовуйте камери в пристрої
• Увімкніть мікрофон
• Копіювати текстові повідомлення
• Відстежуйте свій перегляд…

…і набагато більше.

Apple не повідомила, як були знайдені ці помилки (окрім заслуги «анонімний дослідник»), не сказав, де в світі вони були використані, і не сказав, хто їх використовує або з якою метою.

Грубо кажучи, однак, робочий WebKit RCE, за яким слідує робочий експлойт ядра, як показано тут, зазвичай забезпечує всі функції, необхідні для встановити джейлбрейк пристрою (отже навмисно обходячи майже всі обмеження безпеки, накладені Apple), або до встановити шпигунське програмне забезпечення у фоновому режимі і тримати вас під комплексним наглядом.

Що ж робити?

Латка відразу!

На момент написання статті Apple опублікувала поради для iPad OS 15 та iOS 15, які обидва отримують оновлені номери версій 15.6.1, А для macOS Монтерей 12, який отримує оновлений номер версії 12.5.2.

• На вашому iPhone або iPad: Налаштування > Загальне > Оновлення програмного забезпечення
• На вашому Mac: Apple меню > Про цей Mac > Оновлення програмного забезпечення…

Існує також оновлення, яке вимагає ГОДИННИК до версії 8.7.1, але це оновлення не містить жодних номерів CVE та не містить власних порад щодо безпеки.

Немає інформації про те, чи постраждали старіші підтримувані версії macOS (Big Sur і Catalina), але ще не мають доступних оновлень, чи tvOS уразлива, але ще не виправлена.

Щоб отримати додаткову інформацію, перегляньте цей простір і стежте за офіційною сторінкою порталу бюлетеня безпеки Apple, HT201222.