Уязвимость была раскрыта в бюллетенях по безопасности, выпущенных для iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 и macOS Ventura 13.1. Apple предупреждает о возможных случаях эксплуатации уязвимости в атаках, нацеленных на предыдущие версии систем.
Уязвимость с идентификатором CVE-2022-42856 представляет собой проблему несоответствия используемых типов данных (type confusion issue) в браузерном движке Webkit.
Уязвимость была обнаружена Клементом Лесинем (Clement Lecigne) из группы анализа угроз Google. Она позволяет вредоносному веб-контенту выполнять произвольный код на уязвимом устройстве.
Выполнение произвольного кода может позволить вредоносному сайту выполнять команды в ОС, развертывать дополнительные вредоносные или шпионские программы или выполнять другие вредоносные действия.
Apple устранила уязвимость нулевого дня, улучшив обработку состояния для следующих устройств: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).
Установите обновление на ваши устройства Apple
Хотя Apple сообщает о случаях эксплуатации уязвимости, подробности атак не разглашаются. Это делается намеренно, чтобы пользователи могли развернуть патч до того, как другие злоумышленники проанализируют исправления и разработают свои собственные эксплойты.
Хотя уязвимость, вероятнее всего, использовалась в таргетированных атаках, пользователям все же рекомендуется как можно скорее обновить свои устройства.
Это десятая по счету уязвимость нулевого дня, исправленная Apple с начала года:
- В октябре Apple исправила уязвимость нулевого дня в ядре iOS (CVE-2022-42827).
- В сентябре Apple устранила уязвимость в ядре iOS (CVE-2022-32917).
- В августе были исправлены еще две уязвимости нулевого дня в ядре iOS (CVE-2022-32894) и WebKit (CVE-2022-32893).
- В марте Apple исправила две уязвимости нулевого дня в графическом драйвере Intel (CVE-2022-22674) и AppleAVD (CVE-2022-22675).
- В феврале Apple выпустила обновления безопасности для устранения еще одной уязвимости нулевого дня в WebKit, используемой для атак на iPhone, iPad и Mac.
- В январе Apple исправила еще две уязвимости, позволяющих выполнять код с привилегиями ядра (CVE-2022-22587) и отслеживать активность в Интернете (CVE-2022-22594).
Обновления программ, что нового
• Telegram для Android получил масштабный редизайн в стиле Liquid Glass
• ИИ написал компилятор для ядра Linux за две недели: результаты теста Claude Opus 4.6
• iQOO 15 Ultra против Red Magic 11 Pro: различия в охлаждении, дисплеях и производительности
• Android 16 QPR3 для Pixel: 6 ключевых изменений, которые появятся уже в марте
• NIST: принудительная смена паролей каждые 90 дней устарела и снижает безопасность
• Утечка: Snapdragon 8 Elite Gen 6 может получить систему охлаждения от Samsung Exynos