Apple только что выпустила экстренное обновление для двух ошибок нулевого дня, которые, по-видимому, активно эксплуатируется.
Существует дыра удаленного выполнения кода (RCE), получившая название CVE-2022-32893 в программном обеспечении Apple для рендеринга HTML (WebKit), с помощью которого веб-страница-ловушка может обманом заставить iPhone, iPad и Mac запускать неавторизованный и ненадежный программный код.
Проще говоря, киберпреступник может внедрить вредоносное ПО на ваше устройство, даже если все, что вы делали, это просматривали невинную веб-страницу.
Помните, что WebKit — это часть движка браузера Apple, которая лежит в основе абсолютно всех программ веб-рендеринга на мобильных устройствах Apple.
На компьютерах Mac можно запускать версии Chrome, Chromium, Edge, Firefox и другие браузеры «не Safari» с альтернативными механизмами HTML и JavaScript (Chromium, например, использует мигать а также V8; Фаерфокс основан на геккон а также носорог).
Но в iOS и iPadOS правила Apple App Store настаивают на том, что любое программное обеспечение, предлагающее какие-либо функции просмотра веб-страниц, должен быть основан на WebKitвключая браузеры, такие как Chrome, Firefox и Edge, которые не полагаются на код просмотра Apple на любых других платформах, где вы можете их использовать.
Кроме того, любые приложения Mac и iDevice с всплывающими окнами, такими как Помощь или же О экраны используют HTML в качестве своего «языка отображения» — программное удобство, которое по понятным причинам популярно среди разработчиков.
Приложения, которые делают это, почти наверняка используют Apple Веб-просмотр системные функции, а WebView основан прямо поверх WebKitпоэтому на него влияют любые уязвимости в WebKit.
CVE-2022-32893 Таким образом, уязвимость потенциально затрагивает многие другие приложения и системные компоненты, а не только собственный браузер Safari от Apple, поэтому простой отказ от Safari не может считаться обходным путем, даже на компьютерах Mac, где разрешены браузеры, отличные от WebKit.
Тогда есть второй нулевой день
Также есть дыра для выполнения кода ядра, получившая название CVE-2022-32894с помощью которого злоумышленник, который уже закрепился на вашем устройстве Apple, используя вышеупомянутую ошибку WebKit…
…может перейти от управления всего лишь одним приложением на вашем устройстве к управлению самим ядром операционной системы, приобретая, таким образом, своего рода «административные сверхспособности», обычно предназначенные для самой Apple.
Это почти наверняка означает, что злоумышленник может:
- Следите за всеми работающими в данный момент приложениями
- Скачивайте и запускайте дополнительные приложения, не заходя в App Store
- Доступ практически ко всем данным на устройстве
- Изменить настройки безопасности системы
- Получить ваше местоположение
- Делать скриншоты
- Используйте камеры в устройстве
- Активировать микрофон
- Копировать текстовые сообщения
- Отслеживайте просмотр…
…и многое другое.
Apple не сообщила, как были обнаружены эти ошибки (кроме того, чтобы отдать должное «анонимный исследователь»), не сказал, где в мире они использовались, и не сказал, кто их использует и с какой целью.
Грубо говоря, рабочий WebKit RCE, за которым следует рабочий эксплойт ядра, как показано здесь, обычно предоставляет все функции, необходимые для смонтировать джейлбрейк устройства (поэтому преднамеренно обходя почти все ограничения безопасности, наложенные Apple), или установить фоновое шпионское ПО и держать вас под всесторонним наблюдением.
Что делать?
Патч сразу!
На момент написания Apple опубликовала бюллетени для iPad OS 15 и iOS 15которые оба получают обновленные номера версий 15.6.1и для macOS Монтерей 12который получает обновленный номер версии 12.5.1.
Более старые поддерживаемые версии macOS (Big Sur и Catalina) еще не получили исправления на уровне ядра, поэтому сами операционные системы не обновлялись.
Но есть автономное обновление Safariотвезти вас в Сафари 15.6.1который вам необходимо получить, если вы все еще используете macOS 10 Big Sur или macOS 11 Catalina.
- На вашем iPhone или iPad: Настройки > Общий > Обновление программного обеспечения
- На вашем Mac: Яблочное меню > Об этом Mac > Обновление программного обеспечения…
Также есть обновление, которое требует watchOS к версии 8.7.1но в этом обновлении не указаны номера CVE и нет собственных рекомендаций по безопасности.
Пока ничего не известно о том, защищена ли tvOS или уязвима, но еще не исправлена.
Для получения дополнительной информации смотрите это пространство и следите за официальной страницей портала Apple Security Bulletin, HT201222.
