Пользователей iPhone призвали обновиться до патча 2 Zero-Days

Apple призывает пользователей macOS, iPhone и iPad немедленно установить соответствующие обновления на этой неделе, которые включают исправления для двух нулевых дней при активной атаке. Патчи предназначены для уязвимостей, которые позволяют злоумышленникам выполнять произвольный код и в конечном итоге захватывать устройства.

Доступны исправления для затронутых устройств, работающих Система IOS 15.6.1 и macOS Монтерей 12.5.1. Патчи устраняют две уязвимости, которые в основном влияют на любое устройство Apple, на котором может работать либо iOS 15, либо версия настольной ОС Monterey, согласно обновлениям безопасности, выпущенным Apple в среду.

Один из недостатков - баг ядра (CVE-2022-32894), который присутствует как в iOS, так и в macOS. Согласно Apple, это «проблема записи за пределами границ, [которая] была решена путем улучшенной проверки границ».

Уязвимость позволяет приложению выполнять произвольный код с привилегиями ядра, по словам Apple, которая в обычной расплывчатой ​​манере сообщила, что есть отчет о том, что она «возможно, активно использовалась».

Вторая уязвимость определяется как ошибка WebKit (отслеживается как CVE-2022-32893), которая представляет собой проблему записи вне границ, которую Apple решила с помощью улучшенной проверки границ. Уязвимость позволяет обрабатывать вредоносный веб-контент, который может привести к выполнению кода, а также, как сообщается, находится под активным эксплойтом, согласно Apple. WebKit — это движок браузера, на котором работает Safari и все другие сторонние браузеры, работающие на iOS.

Сценарий в стиле пегаса

Обнаружение обоих недостатков, о которых мало что известно, помимо раскрытия Apple, было приписано анонимному исследователю.

Один эксперт выразил обеспокоенность тем, что последние недостатки Apple «могут дать злоумышленникам полный доступ к устройству», они могут создать похожий на пегаса сценарий, аналогичный тому, в котором АТП национального государства обстреливали цели со шпионским ПО сделано израильской NSO Group, используя уязвимость iPhone.

«Для большинства людей: обновлять программное обеспечение к концу дня», чирикнул Рэйчел Тобак, генеральный директор SocialProof Security, о нулевых днях. «Если модель угрозы повышена (журналист, активист, преследуется национальными государствами и т. д.): обновите сейчас», — предупредил Тобак.

Нулевых дней предостаточно

Недостатки были обнародованы вместе с другими новостями от Google на этой неделе. исправлял это уже пятый нулевой день в этом году для его браузера Chrome, ошибка выполнения произвольного кода, находящаяся под активной атакой.

Новости об еще большем количестве уязвимостей от ведущих поставщиков технологий, подвергающихся атакам со стороны злоумышленников, демонстрируют, что, несмотря на все усилия ведущих технологических компаний по решению вечных проблем безопасности в их программном обеспечении, это остается тяжелой битвой, отметил Эндрю Уэйли, старший технический директор в PROMON, норвежская компания по обеспечению безопасности приложений.

По его словам, недостатки iOS вызывают особую тревогу, учитывая повсеместное распространение iPhone и полную зависимость пользователей от мобильных устройств в повседневной жизни. Однако ответственность за защиту этих устройств лежит не только на поставщиках, но и на пользователях, которые должны быть более осведомлены о существующих угрозах, заметил Уэйли.

«Хотя мы все полагаемся на наши мобильные устройства, они не являются неуязвимыми, и мы, как пользователи, должны сохранять бдительность, как и в настольных операционных системах», — сказал он в электронном письме Threatpost.

В то же время разработчики приложений для iPhone и других мобильных устройств также должны добавить дополнительный уровень контроля безопасности в свои технологии, чтобы они меньше полагались на безопасность ОС для защиты, учитывая часто возникающие недостатки, заметил Уэйли.

«Наш опыт показывает, что этого недостаточно, что потенциально делает банки и других клиентов уязвимыми», — сказал он.