Apple исправила сразу две 0-day уязвимости, угрожавшие iOS, macOS и Safari - «Новости» » Интернет технологии
sitename
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
 В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
 В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
 Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
 Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
 Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Apple исправила сразу две 0-day уязвимости, угрожавшие iOS, macOS и Safari - «Новости»

✔Apple исправила сразу две 0-day уязвимости, угрожавшие iOS, macOS и Safari - «Новости»

22 августа 2022 603 Новости / Текст / Заработок / Вёрстка 0

Компания Apple выпустила обновления для своих продуктов, которые, в числе прочего, исправляют две уязвимости нулевого дня, уже использующиеся злоумышленниками для взлома iPhone, iPad и Mac.


Обе уязвимости одинаковы для всех трех операционных систем, и были исправлены в составе macOS Monterey 12.5.1 и iOS 15.6.1 и iPadOS 15.6.1. Список устройств, для которых они представляли опасность, выглядит так:



  • Mac под управлением macOS Monterey;

  • iPhone 6s и новее;

  • iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).


Первый баг имеет идентификатор CVE-2022-32894 и представляет собой проблему out-of-bounds записи в ядре ОС. Разработчики объясняют, что любое приложение (в том числе вредоносное), может использовать эту уязвимость для выполнения произвольного кода с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс получает возможность выполнить любую команду на устройстве, фактически получая над ним полный контроль.


Второй баг, CVE-2022-32893, так же представляет собой проблему out-of-bounds записи, но уже в WebKit (движке, используемом Safari и другими приложениями, которые могут выходить в интернет). Apple заявляет, что эта уязвимость тоже позволяет выполнить произвольный код. Поскольку уязвимость была обнаружена в веб-движке, скорее всего, она может использоваться удаленно, просто через посещение вредоносного сайта.


К сожалению, пока Apple не сообщает никаких подробностей об эксплуатации этих проблем в реальных атаках, хотя и подчеркивает, что их уже могли взять на вооружение хакеры. Можно предположить, что 0-day уязвимости использовались в таргетированных атаках, как это часто бывает с багами в девайсах Apple.


Не сообщается и о том, кем и когда были обнаружены эти уязвимости. Во всех случаях компания ссылается на исследователя, пожелавшего остаться неизвестным.


Стоит отметить, что вслед за патчами для ОС инженеры компании выпустили отдельное обновление для своего браузера (Safari 15.6.1 для macOS Big Sur и Catalina), в котором устранили тот же 0-day в WebKit — CVE-2022-32893.


«Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно о возможной активной эксплуатации этой проблемы», — предупредили в компании.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Apple выпустила обновления для своих продуктов, которые, в числе прочего, исправляют две уязвимости нулевого дня, уже использующиеся злоумышленниками для взлома iPhone, iPad и Mac. Обе уязвимости одинаковы для всех трех операционных систем, и были исправлены в составе macOS Monterey 12.5.1 и iOS 15.6.1 и iPadOS 15.6.1. Список устройств, для которых они представляли опасность, выглядит так: Mac под управлением macOS Monterey; iPhone 6s и новее; iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения). Первый баг имеет идентификатор CVE-2022-32894 и представляет собой проблему out-of-bounds записи в ядре ОС. Разработчики объясняют, что любое приложение (в том числе вредоносное), может использовать эту уязвимость для выполнения произвольного кода с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс получает возможность выполнить любую команду на устройстве, фактически получая над ним полный контроль. Второй баг, CVE-2022-32893, так же представляет собой проблему out-of-bounds записи, но уже в WebKit (движке, используемом Safari и другими приложениями, которые могут выходить в интернет). Apple заявляет, что эта уязвимость тоже позволяет выполнить произвольный код. Поскольку уязвимость была обнаружена в веб-движке, скорее всего, она может использоваться удаленно, просто через посещение вредоносного сайта. К сожалению, пока Apple не сообщает никаких подробностей об эксплуатации этих проблем в реальных атаках, хотя и подчеркивает, что их уже могли взять на вооружение хакеры. Можно предположить, что 0-day уязвимости использовались в таргетированных атаках, как это часто бывает с багами в девайсах Apple. Не сообщается и о том, кем и когда были обнаружены эти уязвимости. Во всех случаях компания ссылается на исследователя, пожелавшего остаться неизвестным. Стоит отметить, что вслед за патчами для ОС инженеры компании выпустили отдельное обновление для своего браузера (Safari 15.6.1 для macOS Big Sur и Catalina), в котором устранили тот же 0-day в WebKit — CVE-2022-32893. «Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно о возможной активной эксплуатации этой проблемы», — предупредили в компании.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: