Apple исправила сразу две 0-day уязвимости, угрожавшие iOS, macOS и Safari - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Apple исправила сразу две 0-day уязвимости, угрожавшие iOS, macOS и Safari - «Новости»

✔Apple исправила сразу две 0-day уязвимости, угрожавшие iOS, macOS и Safari - «Новости»

22 августа 2022 634 Новости / Текст / Заработок / Вёрстка 0

Компания Apple выпустила обновления для своих продуктов, которые, в числе прочего, исправляют две уязвимости нулевого дня, уже использующиеся злоумышленниками для взлома iPhone, iPad и Mac.


Обе уязвимости одинаковы для всех трех операционных систем, и были исправлены в составе macOS Monterey 12.5.1 и iOS 15.6.1 и iPadOS 15.6.1. Список устройств, для которых они представляли опасность, выглядит так:



  • Mac под управлением macOS Monterey;

  • iPhone 6s и новее;

  • iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).


Первый баг имеет идентификатор CVE-2022-32894 и представляет собой проблему out-of-bounds записи в ядре ОС. Разработчики объясняют, что любое приложение (в том числе вредоносное), может использовать эту уязвимость для выполнения произвольного кода с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс получает возможность выполнить любую команду на устройстве, фактически получая над ним полный контроль.


Второй баг, CVE-2022-32893, так же представляет собой проблему out-of-bounds записи, но уже в WebKit (движке, используемом Safari и другими приложениями, которые могут выходить в интернет). Apple заявляет, что эта уязвимость тоже позволяет выполнить произвольный код. Поскольку уязвимость была обнаружена в веб-движке, скорее всего, она может использоваться удаленно, просто через посещение вредоносного сайта.


К сожалению, пока Apple не сообщает никаких подробностей об эксплуатации этих проблем в реальных атаках, хотя и подчеркивает, что их уже могли взять на вооружение хакеры. Можно предположить, что 0-day уязвимости использовались в таргетированных атаках, как это часто бывает с багами в девайсах Apple.


Не сообщается и о том, кем и когда были обнаружены эти уязвимости. Во всех случаях компания ссылается на исследователя, пожелавшего остаться неизвестным.


Стоит отметить, что вслед за патчами для ОС инженеры компании выпустили отдельное обновление для своего браузера (Safari 15.6.1 для macOS Big Sur и Catalina), в котором устранили тот же 0-day в WebKit — CVE-2022-32893.


«Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно о возможной активной эксплуатации этой проблемы», — предупредили в компании.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Apple выпустила обновления для своих продуктов, которые, в числе прочего, исправляют две уязвимости нулевого дня, уже использующиеся злоумышленниками для взлома iPhone, iPad и Mac. Обе уязвимости одинаковы для всех трех операционных систем, и были исправлены в составе macOS Monterey 12.5.1 и iOS 15.6.1 и iPadOS 15.6.1. Список устройств, для которых они представляли опасность, выглядит так: Mac под управлением macOS Monterey; iPhone 6s и новее; iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения). Первый баг имеет идентификатор CVE-2022-32894 и представляет собой проблему out-of-bounds записи в ядре ОС. Разработчики объясняют, что любое приложение (в том числе вредоносное), может использовать эту уязвимость для выполнения произвольного кода с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс получает возможность выполнить любую команду на устройстве, фактически получая над ним полный контроль. Второй баг, CVE-2022-32893, так же представляет собой проблему out-of-bounds записи, но уже в WebKit (движке, используемом Safari и другими приложениями, которые могут выходить в интернет). Apple заявляет, что эта уязвимость тоже позволяет выполнить произвольный код. Поскольку уязвимость была обнаружена в веб-движке, скорее всего, она может использоваться удаленно, просто через посещение вредоносного сайта. К сожалению, пока Apple не сообщает никаких подробностей об эксплуатации этих проблем в реальных атаках, хотя и подчеркивает, что их уже могли взять на вооружение хакеры. Можно предположить, что 0-day уязвимости использовались в таргетированных атаках, как это часто бывает с багами в девайсах Apple. Не сообщается и о том, кем и когда были обнаружены эти уязвимости. Во всех случаях компания ссылается на исследователя, пожелавшего остаться неизвестным. Стоит отметить, что вслед за патчами для ОС инженеры компании выпустили отдельное обновление для своего браузера (Safari 15.6.1 для macOS Big Sur и Catalina), в котором устранили тот же 0-day в WebKit — CVE-2022-32893. «Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно о возможной активной эксплуатации этой проблемы», — предупредили в компании.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: