Apple тихо випустила більше оновлень для iOS, щоб виправити активно використовувану вразливість безпеки нульового дня, яку вона виправила на початку цього місяця в нових пристроях. Уразливість, знайдена в WebKit, може дозволити зловмисникам створювати шкідливий веб-контент, який дозволяє віддалене виконання коду (RCE) на пристрої користувача.
Оновлення iOS 12.5.6, випущений у середу, застосовується до таких моделей: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 та iPod touch 6-го покоління.
Недолік, про який йде мова (CVE-2022-32893) Apple описує як проблему запису поза межами WebKit. Це було виправлено в патчі з покращеною перевіркою меж. Apple визнала, що ця помилка знаходиться в стадії активного використання, і закликала користувачів уражених пристроїв негайно оновити програму.
Apple уже виправила вразливість для деяких пристроїв, а також недолік ядра, який відстежується як CVE-2022-32894. на початку серпня в iOS 15.6.1. це так Оновлення які охоплювали iPhone 6S і пізніших моделей, iPad Pro (усі моделі), iPad Air 2 і пізніших, iPad 5-го покоління і пізніших, iPad mini 4 і пізніших, і iPod touch (7-го покоління).
Схоже, останній раунд виправлень Apple охоплює всі свої бази, додаючи захист для iPhone зі старішими версіями iOS, зазначив проповідник безпеки Пол Даклін.
«Ми припускаємо, що Apple, мабуть, зустріла принаймні деяких високопоставлених (або високоризикових, або обох) користувачів старих телефонів, які були скомпрометовані таким чином, і вирішила виштовхнути захист для всіх як особливий запобіжний захід, " він написав у пості у блозі Sophos Naked Security.
Подвійне покриття Apple для виправлення помилки в обох версіях iOS пов’язане зі зміною того, які версії платформи працюють на яких iPhone, пояснив Даклін.
До того, як Apple випустила iOS 13.1 і iPadOS 13.1, iPhone і iPad використовували одну і ту ж операційну систему, яка для обох пристроїв називалася iOS, сказав він. Тепер iOS 12.x охоплює iPhone 6 і попередні версії, тоді як iOS 13.1 і новіші версії працюють на iPhone 6s і пристроях, випущених пізніше.
Інша помилка нульового дня, яку Apple виправила на початку цього місяця, CVE-2022-32894, була вразливістю ядра, яка може дозволити повністю захопити пристрій. Але в той час як iOS 13 була вражена цією вадою — і тому отримала виправлення для неї в попередньому оновленні — вона не впливає на iOS 12, зазначив Даклін, «що майже напевно уникає ризику повної компрометації самої операційної системи» на старіших версіях. пристроїв.
WebKit: широка поверхня для кібератак
WebKit — це движок браузера, який підтримує Safari та всі інші сторонні браузери, які працюють на iOS. Використовуючи CVE-2022-32893, зловмисник може створити шкідливий вміст на веб-сайті. Тоді, якщо хтось відвідає сайт із ураженого iPhone, актор може віддалено запустити зловмисне програмне забезпечення на своєму пристрої.
WebKit загалом був постійною проблемою для Apple, коли справа доходить до вразливості користувачів, оскільки він поширюється за межі iPhone та інших пристроїв Apple до інших браузерів, які його використовують, зокрема Firefox, Edge і Chrome, потенційно піддаючи ризику мільйони користувачів. задану помилку.
«Пам’ятайте, що помилки WebKit існують, грубо кажучи, на рівні програмного забезпечення під Safari, тому власний браузер Apple Safari — не єдиний додаток, якому загрожує ця вразливість», — зазначив Даклін.
Крім того, будь-яка програма, яка відображає веб-контент на iOS для цілей, відмінних від загального перегляду, наприклад на сторінках довідки, “Про” екрані або навіть у вбудованому «мінібраузері» — використовує WebKit під капотом, додав він.
«Іншими словами, просто «уникати Safari» і використовувати сторонній браузер не є придатним обхідним шляхом [помилок WebKit]», — написав Даклін.
Apple під ударом
Хоча користувачі та професіонали традиційно вважали платформи Mac і iOS від Apple більш безпечними, ніж Microsoft Windows — і це загалом було правдою з ряду причин — ситуація починає змінюватися, кажуть експерти.
Дійсно, нові загрози виявляють більший інтерес до більш поширених веб-технологій, а не до самої ОС розширив ціль на спині Apple, згідно з повідомлення про загрозу випущений у січні, і це відображає стратегія захисних виправлень компанії.
Цього року Apple виправила принаймні чотири недоліки нульового дня, а також два виправлення для попередніх уразливостей iOS і macOS. січня і один в лютого — остання з яких виправила ще одну активно використовувану проблему в WebKit.
Крім того, минулого року 12 із 57 загроз нульового дня дослідники Google Project Zero гусеничні були пов’язані з Apple (тобто понад 20%), причому проблеми стосувалися macOS, iOS, iPadOS і WebKit.
