На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Внимательно прочитайте правила раздела
1. Запрещается публиковать материалы защищенные авторскими правами.
2. Запрещается публиковать новостные материалы без ссылки на источник
Модераторы: ANDLL, B.V.
  
    > Apple залатала дыры в iOS и iPadOS, в которые уже ринулись хакеры
      Apple залатала дыры в iOS и iPadOS, в которые уже ринулись хакеры

      Две новые проблемы пополнили растущий список уязвимостей нулевого дня, которые Apple пришлось устранять с начала 2022 г. Ошибки в ядре и браузерном движке iOS и iPadOS позволяли запускать произвольный код на целевом устройстве, правда, для этого требовались некоторые усилия со стороны злоумышленников.

      Браузер и ядро

      Компания Apple устранила две уязвимости в iOS и iPad OS, которыми уже вовсю пользовались злоумышленники. Оба бага относились к классу уязвимостей нулевого дня, то есть, вендор узнал о них уже после того, как началась их активная эксплуатация.

      Уязвимость CVE-2022-32893 присутствовала в компоненте WebKit (браузерный движок) и допускала запуск произвольного кода при обработке специально сформированного веб-контента. Иными словами, жертву надо было заманить на специально созданный веб-сайт.

      Вторая уязвимость, CVE-2022-32894 выявлена была непосредственно в ядре операционных систем Apple и также позволяла запускать произвольный код в системе. Для ее эксплуатации требовалось создать специальное вредоносное приложение и добиться того, чтобы жертва его установила на свое устройство. Вероятно, идея состояла в том, чтобы атаковать таким образом смартфоны, над которыми уже произведен джейлбрейк, открывающий возможность установки приложений из иных, нежели AppleStore, источников.

      В обоих случаях речь шла об ошибках, связанных с записью информации за пределами выделенной области памяти. Уязвимости устраняются обновлениями iOS 15.6.1, iPadOS 15.6.1 и macOS Monterey.

      user posted image
      Apple исправила две уязвимости в iOS и iPadOS, уже использовавшиеся хакерами

      Обновления iOS предназначаются для версии iPhone 6s и более новых моделей. Обновления iPadOS — для всех версий iPad Pro, iPad Air 2 и более новых, версий iPad пятого поколения и более новых, а также iPad mini 4 (и позднее) и iPod touch (начиная с седьмого поколения).

      Целевые атаки

      По данным Apple, исправленные уязвимости уже подвергались активной эксплуатации, однако деталей компания раскрывать не стала.

      «Вероятнее всего речь шла о целевых, узконаправленных атаках, где злоумышленники действовали наверняка, — предполагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — В таких атаках эксплуатация той или иной уязвимости даже не обязательно является ключевым элементом; злоумышленникам сперва требуется провести масштабную разведывательную работу, чтобы определить, кто именно им нужен, и как эффективнее всего произвести компрометацию его или ее рабочих инструментов. Как бы там ни было, пользователям устройств Apple стоит как можно оперативнее обновить программные оболочки своих устройств: сейчас, когда информация об уязвимостях раскрыта, количество желающих ими воспользоваться резко вырастет».

      С начала 2022 г. Apple уже неоднократно вынуждена была устранять уязвимости «нулевого дня». С января по май были исправлены шесть таких багов, получивших индекс CVE.

      Адрес новости:
      https://safe.cnews.ru/news/top/2022-08-19_apple_zalatala_dyry_v_ios_i_ipados

      0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
      0 пользователей:


      Рейтинг@Mail.ru
      [ Script execution time: 0,0192 ]   [ 15 queries used ]   [ Generated: 26.11.22, 12:56 GMT ]