Уязвимость была раскрыта в бюллетенях по безопасности, выпущенных для iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 и macOS Ventura 13.1. Apple предупреждает о возможных случаях эксплуатации уязвимости в атаках, нацеленных на предыдущие версии систем.
Уязвимость с идентификатором CVE-2022-42856 представляет собой проблему несоответствия используемых типов данных (type confusion issue) в браузерном движке Webkit.
Уязвимость была обнаружена Клементом Лесинем (Clement Lecigne) из группы анализа угроз Google. Она позволяет вредоносному веб-контенту выполнять произвольный код на уязвимом устройстве.
Выполнение произвольного кода может позволить вредоносному сайту выполнять команды в ОС, развертывать дополнительные вредоносные или шпионские программы или выполнять другие вредоносные действия.
Apple устранила уязвимость нулевого дня, улучшив обработку состояния для следующих устройств: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).
Установите обновление на ваши устройства Apple
Хотя Apple сообщает о случаях эксплуатации уязвимости, подробности атак не разглашаются. Это делается намеренно, чтобы пользователи могли развернуть патч до того, как другие злоумышленники проанализируют исправления и разработают свои собственные эксплойты.
Хотя уязвимость, вероятнее всего, использовалась в таргетированных атаках, пользователям все же рекомендуется как можно скорее обновить свои устройства.
Это десятая по счету уязвимость нулевого дня, исправленная Apple с начала года:
- В октябре Apple исправила уязвимость нулевого дня в ядре iOS (CVE-2022-42827).
- В сентябре Apple устранила уязвимость в ядре iOS (CVE-2022-32917).
- В августе были исправлены еще две уязвимости нулевого дня в ядре iOS (CVE-2022-32894) и WebKit (CVE-2022-32893).
- В марте Apple исправила две уязвимости нулевого дня в графическом драйвере Intel (CVE-2022-22674) и AppleAVD (CVE-2022-22675).
- В феврале Apple выпустила обновления безопасности для устранения еще одной уязвимости нулевого дня в WebKit, используемой для атак на iPhone, iPad и Mac.
- В январе Apple исправила еще две уязвимости, позволяющих выполнять код с привилегиями ядра (CVE-2022-22587) и отслеживать активность в Интернете (CVE-2022-22594).
Обновления программ, что нового
• Обновление Intel Graphics Drivers (Beta). Поддержка Crime Boss
• Firefox будет поддерживать Windows 7 и Windows 8.1 как минимум до середины 2024 года
• Поддержка Steam в Windows 7 и Windows 8.1 завершится 1 января 2024 года
• Apple выпускает iOS 16.4: новые эмодзи, веб-уведомления Safari, улучшения звонков и многое другое
• Обновление O&O ShutUp10++: поддержка отключения боковой панели Edge
• RuStore для Android теперь предлагает антивирусную проверку с помощью Антивируса Касперского