Уязвимость была раскрыта в бюллетенях по безопасности, выпущенных для iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 и macOS Ventura 13.1. Apple предупреждает о возможных случаях эксплуатации уязвимости в атаках, нацеленных на предыдущие версии систем.
Уязвимость с идентификатором CVE-2022-42856 представляет собой проблему несоответствия используемых типов данных (type confusion issue) в браузерном движке Webkit.
Уязвимость была обнаружена Клементом Лесинем (Clement Lecigne) из группы анализа угроз Google. Она позволяет вредоносному веб-контенту выполнять произвольный код на уязвимом устройстве.
Выполнение произвольного кода может позволить вредоносному сайту выполнять команды в ОС, развертывать дополнительные вредоносные или шпионские программы или выполнять другие вредоносные действия.
Apple устранила уязвимость нулевого дня, улучшив обработку состояния для следующих устройств: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).
Установите обновление на ваши устройства Apple
Хотя Apple сообщает о случаях эксплуатации уязвимости, подробности атак не разглашаются. Это делается намеренно, чтобы пользователи могли развернуть патч до того, как другие злоумышленники проанализируют исправления и разработают свои собственные эксплойты.
Хотя уязвимость, вероятнее всего, использовалась в таргетированных атаках, пользователям все же рекомендуется как можно скорее обновить свои устройства.
Это десятая по счету уязвимость нулевого дня, исправленная Apple с начала года:
- В октябре Apple исправила уязвимость нулевого дня в ядре iOS (CVE-2022-42827).
- В сентябре Apple устранила уязвимость в ядре iOS (CVE-2022-32917).
- В августе были исправлены еще две уязвимости нулевого дня в ядре iOS (CVE-2022-32894) и WebKit (CVE-2022-32893).
- В марте Apple исправила две уязвимости нулевого дня в графическом драйвере Intel (CVE-2022-22674) и AppleAVD (CVE-2022-22675).
- В феврале Apple выпустила обновления безопасности для устранения еще одной уязвимости нулевого дня в WebKit, используемой для атак на iPhone, iPad и Mac.
- В январе Apple исправила еще две уязвимости, позволяющих выполнять код с привилегиями ядра (CVE-2022-22587) и отслеживать активность в Интернете (CVE-2022-22594).
Обновления программ, что нового
• Google Chrome начал использовать Gemini Nano для защиты от онлайн-мошенничества
• Обновление Intel ARC Game On Driver 32.0.101.6793 Non-WHQL. Поддержка DOOM: The Dark Ages и Japanese Drift Master
• Релиз HarmonyOS PC: Huawei бросает вызов Windows и macOS
• Intel: новое обновление микрокода 0x12F для процессоров 13-го и 14-го поколения не влияет на производительность
• Samsung Galaxy S22 начал получать One UI 7 в Европе: обновлённый интерфейс и Android 15 уже доступны
• Обновление Raspberry Pi OS: Новый экран блокировки, улучшенное приложение печати и другие улучшения