Виявлені уразливості в компоненті WebKit на пристроях Apple
Опис проблеми: Дослідники Google виявили кілька уразливостей нульового дня в компоненті WebKit на пристроях Apple. Хоча ці уразливості вже були виправлені, компанія Apple настійно рекомендує користувачам оновити свої системи якнайшвидше, оскільки є підозри, що хакери вже експлуатують ці вразливості.
Типи уразливостей у системах Apple
Apple виявила дві небезпечні уразливості в компонентах JavaScriptCore та WebKit своїх операційних систем. Ці проблеми стосуються лише Intel-систем, але оновлення безпеки поширюються на всі платформи Apple.
Перша уразливість: JavaScriptCore (CVE-2024-44308)
Перша проблема (CVE-2024-44308) стосується фреймворка JavaScriptCore, який забезпечує роботу JavaScript-двигуна в WebKit. Зловмисно створений веб-контент може призвести до виконання довільного коду. За повідомленням Apple, невідомі загрози могли вже використовувати цю вразливість на Intel-базованих Mac.
Друга уразливість: WebKit (CVE-2024-44309)
Друга уразливість (CVE-2024-44309) стосується двигуна верстки WebKit, який використовується в браузері Safari та деяких інших браузерах. Ця проблема дозволяє хакерам здійснювати атаки типу cross-site scripting (XSS) на Intel Mac.
Ризики для безпеки користувачів Apple
Зловмисники, що намагаються зламати пристрої Apple, часто орієнтуються на WebKit як найбільшу вразливість. Після компрометації веб-браузера хакери можуть розширити свою атаку на всю систему для різних цілей, таких як використання iPhone як інструменту шпигунства, викрадення особистих даних або перехоплення комунікацій між потенційними цілями.
Хто виявив уразливості?
Ці вразливості були виявлені Клементом Лежіном і Бенуа Севенсом з Google, які працюють у групі аналізу загроз, що займається боротьбою з державними хакерськими атаками. Apple-пристрої часто є основною метою для платформ комерційного шпигунства, які спеціалізуються на дослідженні та експлуатації невідомих вразливостей для своїх клієнтів.
Оновлення безпеки від Apple
Apple не надала конкретних деталей щодо хакерів, які намагались експлуатувати ці вразливості. Однак компанія випустила оновлення, яке покращує перевірку JavaScript у JavaScriptCore та управління станами в WebKit.
Захисні оновлення для macOS і iOS
Оновлення безпеки для JavaScriptCore та WebKit доступні у новітніх версіях macOS Sequoia (15.1.1), iOS (18.1.1) та iPadOS (18.1.1). Виправлення також були застосовані для iOS 17.7.2 та iPadOS 17.7.2. Додаткові оновлення безпеки для браузера Safari доступні для macOS Ventura, macOS Sonoma та для Vision Pro (visionOS 2.1.1).
