Apple исправила сразу две 0-day уязвимости, угрожавшие iOS, macOS и Safari - «Новости» » Интернет технологии
sitename
Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
 «Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
«Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
 Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
 GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
 Magic Mouse похищает данные 650 000 банковских карт ежемесячно - «Новости»
Magic Mouse похищает данные 650 000 банковских карт ежемесячно - «Новости»
 Представители WhatsApp прокомментировали блокировку звонков в РФ - «Новости»
Представители WhatsApp прокомментировали блокировку звонков в РФ - «Новости»
 Microsoft исправила более 100 уязвимостей - «Новости»
Microsoft исправила более 100 уязвимостей - «Новости»
 «Попали в самую точку!»: музыкальная тема главного меню Heroes of Might & Magic: Olden Era покорила фанатов - «Новости сети»
«Попали в самую точку!»: музыкальная тема главного меню Heroes of Might & Magic: Olden Era покорила фанатов - «Новости сети»
 Scaly Wolf снова атакует российский машиностроительный сектор - «Новости»
Scaly Wolf снова атакует российский машиностроительный сектор - «Новости»
 Gemini мог раскрывать данные пользователей через Google Calendar - «Новости»
Gemini мог раскрывать данные пользователей через Google Calendar - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Apple исправила сразу две 0-day уязвимости, угрожавшие iOS, macOS и Safari - «Новости»

✔Apple исправила сразу две 0-day уязвимости, угрожавшие iOS, macOS и Safari - «Новости»

22 августа 2022 681 Новости / Текст / Заработок / Вёрстка 0

Компания Apple выпустила обновления для своих продуктов, которые, в числе прочего, исправляют две уязвимости нулевого дня, уже использующиеся злоумышленниками для взлома iPhone, iPad и Mac.


Обе уязвимости одинаковы для всех трех операционных систем, и были исправлены в составе macOS Monterey 12.5.1 и iOS 15.6.1 и iPadOS 15.6.1. Список устройств, для которых они представляли опасность, выглядит так:



  • Mac под управлением macOS Monterey;

  • iPhone 6s и новее;

  • iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).


Первый баг имеет идентификатор CVE-2022-32894 и представляет собой проблему out-of-bounds записи в ядре ОС. Разработчики объясняют, что любое приложение (в том числе вредоносное), может использовать эту уязвимость для выполнения произвольного кода с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс получает возможность выполнить любую команду на устройстве, фактически получая над ним полный контроль.


Второй баг, CVE-2022-32893, так же представляет собой проблему out-of-bounds записи, но уже в WebKit (движке, используемом Safari и другими приложениями, которые могут выходить в интернет). Apple заявляет, что эта уязвимость тоже позволяет выполнить произвольный код. Поскольку уязвимость была обнаружена в веб-движке, скорее всего, она может использоваться удаленно, просто через посещение вредоносного сайта.


К сожалению, пока Apple не сообщает никаких подробностей об эксплуатации этих проблем в реальных атаках, хотя и подчеркивает, что их уже могли взять на вооружение хакеры. Можно предположить, что 0-day уязвимости использовались в таргетированных атаках, как это часто бывает с багами в девайсах Apple.


Не сообщается и о том, кем и когда были обнаружены эти уязвимости. Во всех случаях компания ссылается на исследователя, пожелавшего остаться неизвестным.


Стоит отметить, что вслед за патчами для ОС инженеры компании выпустили отдельное обновление для своего браузера (Safari 15.6.1 для macOS Big Sur и Catalina), в котором устранили тот же 0-day в WebKit — CVE-2022-32893.


«Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно о возможной активной эксплуатации этой проблемы», — предупредили в компании.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Apple выпустила обновления для своих продуктов, которые, в числе прочего, исправляют две уязвимости нулевого дня, уже использующиеся злоумышленниками для взлома iPhone, iPad и Mac. Обе уязвимости одинаковы для всех трех операционных систем, и были исправлены в составе macOS Monterey 12.5.1 и iOS 15.6.1 и iPadOS 15.6.1. Список устройств, для которых они представляли опасность, выглядит так: Mac под управлением macOS Monterey; iPhone 6s и новее; iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения). Первый баг имеет идентификатор CVE-2022-32894 и представляет собой проблему out-of-bounds записи в ядре ОС. Разработчики объясняют, что любое приложение (в том числе вредоносное), может использовать эту уязвимость для выполнения произвольного кода с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс получает возможность выполнить любую команду на устройстве, фактически получая над ним полный контроль. Второй баг, CVE-2022-32893, так же представляет собой проблему out-of-bounds записи, но уже в WebKit (движке, используемом Safari и другими приложениями, которые могут выходить в интернет). Apple заявляет, что эта уязвимость тоже позволяет выполнить произвольный код. Поскольку уязвимость была обнаружена в веб-движке, скорее всего, она может использоваться удаленно, просто через посещение вредоносного сайта. К сожалению, пока Apple не сообщает никаких подробностей об эксплуатации этих проблем в реальных атаках, хотя и подчеркивает, что их уже могли взять на вооружение хакеры. Можно предположить, что 0-day уязвимости использовались в таргетированных атаках, как это часто бывает с багами в девайсах Apple. Не сообщается и о том, кем и когда были обнаружены эти уязвимости. Во всех случаях компания ссылается на исследователя, пожелавшего остаться неизвестным. Стоит отметить, что вслед за патчами для ОС инженеры компании выпустили отдельное обновление для своего браузера (Safari 15.6.1 для macOS Big Sur и Catalina), в котором устранили тот же 0-day в WebKit — CVE-2022-32893. «Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно о возможной активной эксплуатации этой проблемы», — предупредили в компании.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: