Користувачів iPhone закликають оновити до Patch 2 Zero-Days

Apple закликає користувачів macOS, iPhone і iPad негайно встановити відповідні оновлення цього тижня, які містять виправлення для двох нульових днів під час активної атаки. Патчі призначені для уразливостей, які дозволяють зловмисникам виконувати довільний код і зрештою захоплювати пристрої.

Патчі доступні для запущених пристроїв Система IOS 15.6.1 та macOS Монтерей 12.5.1. Відповідно до оновлень безпеки, опублікованих Apple у середу, патчі усувають два недоліки, які в основному впливають на будь-який пристрій Apple, який може працювати з iOS 15 або версією настільної ОС Monterey.

Однією з вад є помилка ядра (CVE-2022-32894), який присутній як в iOS, так і в macOS. За словами Apple, це «проблема запису поза межами [яка] була вирішена за допомогою вдосконаленої перевірки меж».

Уразливість дозволяє програмі виконувати довільний код із привілеями ядра, згідно з Apple, яка, як правило, розпливчасто заявила, що є повідомлення про те, що вона «можливо активно використовувалася».

Друга вада ідентифікована як помилка WebKit (відстежується як CVE-2022-32893), яка є проблемою запису поза межами, яку Apple вирішила за допомогою вдосконаленої перевірки меж. Ця помилка дозволяє обробляти зловмисно створений веб-контент, який може призвести до виконання коду, а також, як повідомляється, активно розповсюджується, згідно з Apple. WebKit — це движок браузера, який підтримує Safari та всі інші сторонні браузери, які працюють на iOS.

Сценарій, подібний до Пегаса

Виявлення обох недоліків, про які відомо небагато, крім розкриття Apple, було приписано анонімному досліднику.

Один експерт висловив стурбованість тим, що останні недоліки Apple «можуть фактично надати зловмисникам повний доступ до пристрою», вони можуть створити Пегасоподібні сценарій, схожий на той, у якому APT національної держави загороджували цілі зі шпигунським програмним забезпеченням зроблено ізраїльською NSO Group, використовуючи вразливість iPhone.

«Для більшості людей: оновіть програмне забезпечення до кінця дня» твір Рейчел Тобак, генеральний директор SocialProof Security, щодо нульових днів. «Якщо модель загрози підвищена (журналіст, активіст, мішень для національних держав тощо): оновіть зараз», — попередив Тобак.

Zero-Days Abound

Недоліки були оприлюднені разом з іншими новинами від Google цього тижня латав це вже п’ятий нульовий день цього року для його браузера Chrome, помилка виконання довільного коду під активною атакою.

Новини про ще більше вразливостей від провідних постачальників технологій, яких обстрілюють зловмисники, демонструють, що, незважаючи на всі зусилля провідних технологічних компаній щодо вирішення постійних проблем безпеки у своєму програмному забезпеченні, боротьба залишається важкою, зазначив Ендрю Уейлі, старший технічний директор компанії Promon, норвезька компанія безпеки додатків.

За його словами, недоліки в iOS викликають особливе занепокоєння, враховуючи всюдисущість iPhone і повну залежність користувачів від мобільних пристроїв у повсякденному житті. Проте захист цих пристроїв лежить не тільки на постачальниках, але й на користувачах, щоб вони були більш обізнаними про існуючі загрози, зазначив Уейлі.

«Хоча всі ми покладаємося на наші мобільні пристрої, вони не є невразливими, і як користувачі ми повинні бути обережними, як і в настільних операційних системах», — сказав він в електронному листі до Threatpost.

У той же час розробникам додатків для iPhone та інших мобільних пристроїв також слід додати додатковий рівень контролю безпеки у свою технологію, щоб вони менше залежали від безпеки ОС для захисту, враховуючи недоліки, які часто виникають, зауважив Уейлі.

«Наш досвід показує, що цього відбувається недостатньо, потенційно залишаючи банківські та інших клієнтів уразливими», — сказав він.