Уязвимость была раскрыта в бюллетенях по безопасности, выпущенных для iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 и macOS Ventura 13.1. Apple предупреждает о возможных случаях эксплуатации уязвимости в атаках, нацеленных на предыдущие версии систем.
Уязвимость с идентификатором CVE-2022-42856 представляет собой проблему несоответствия используемых типов данных (type confusion issue) в браузерном движке Webkit.
Уязвимость была обнаружена Клементом Лесинем (Clement Lecigne) из группы анализа угроз Google. Она позволяет вредоносному веб-контенту выполнять произвольный код на уязвимом устройстве.
Выполнение произвольного кода может позволить вредоносному сайту выполнять команды в ОС, развертывать дополнительные вредоносные или шпионские программы или выполнять другие вредоносные действия.
Apple устранила уязвимость нулевого дня, улучшив обработку состояния для следующих устройств: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).
Установите обновление на ваши устройства Apple
Хотя Apple сообщает о случаях эксплуатации уязвимости, подробности атак не разглашаются. Это делается намеренно, чтобы пользователи могли развернуть патч до того, как другие злоумышленники проанализируют исправления и разработают свои собственные эксплойты.
Хотя уязвимость, вероятнее всего, использовалась в таргетированных атаках, пользователям все же рекомендуется как можно скорее обновить свои устройства.
Это десятая по счету уязвимость нулевого дня, исправленная Apple с начала года:
- В октябре Apple исправила уязвимость нулевого дня в ядре iOS (CVE-2022-42827).
- В сентябре Apple устранила уязвимость в ядре iOS (CVE-2022-32917).
- В августе были исправлены еще две уязвимости нулевого дня в ядре iOS (CVE-2022-32894) и WebKit (CVE-2022-32893).
- В марте Apple исправила две уязвимости нулевого дня в графическом драйвере Intel (CVE-2022-22674) и AppleAVD (CVE-2022-22675).
- В феврале Apple выпустила обновления безопасности для устранения еще одной уязвимости нулевого дня в WebKit, используемой для атак на iPhone, iPad и Mac.
- В январе Apple исправила еще две уязвимости, позволяющих выполнять код с привилегиями ядра (CVE-2022-22587) и отслеживать активность в Интернете (CVE-2022-22594).
Обновления программ, что нового
• Nvidia планирует выпустить собственный процессор для ПК
• Apple опровергла обвинения в записи разговоров через Siri, но согласилась выплатить 95$ млн по коллективному иску
• От двойных камер до ИИ: почему инновации в смартфонах перестали отвечать запросам пользователей
• Утечка тестов NVIDIA RTX 5080 для ноутбуков: быстрее RTX 4090 и на уровне RTX 4070 SUPER для ПК
• Представлен HDMI 2.2: двукратное увеличение скорости и поддержка разрешения до 16K
• Релиз Opera 116: стабильная версия с улучшениями интерфейса и производительности