Поделиться
Apple публикует обновления для старых устройств против недавних критических уязвимостей
Компания Apple сообщила, что уязвимости, исправленные пару недель назад в новых устройствах, затрагивают и старые, и опубликовала к ним патчи. Уязвимости критические, затрагивают все платформы компании.
Спасибо, Google
Apple выпустила экстренные обновления специально для старых версий iOS и macOS, закрывающие уязвимости, активно эксплуатируемые хакерами.
Речь идёт об уязвимостях нулевого дня, которые теперь отслеживаются под индексами CVE-2023-42916 и CVE-2023-42917, которые пару недель назад выявил эксперт Google Threat Analysis Group Клеман Лесинь (Clément Lecigne).
Первая из этих двух уязвимостей связана с некорректной валидацией входящих данных, что открывает возможность для считывания данных вне пределов выделенной памяти. На практике это может привести к тому, что у хакеров появляется возможность вывести существенной важности данные.
Вторая уязвимость связана с ошибками памяти и допускает запуск произвольного кода. Для этого потребуется специально созданная веб-страница.
Обе уязвимости затрагивают движок WebKit, на базе которого построен браузер Safari для всех устройств Apple. Таким образом, уязвимыми оказываются и смартфоны, и планшеты, и персональные компьютеры, а также часы Apple Watch и смарт-телевизоры Apple TV.
В обновленной недавно версии бюллетеня Apple указывается, что эти «баги» затрагивают все и программную платформу iOS версий старше 16.7.1, и более того, хакеры уже успешно атакуют старые устройства. В связи с этим было решено выпустить патчи не только для новейших гаджетов.
Дополнительные обновления вышли для всех iPhone версии 8 и старше, для всех моделей iPad Pro, для iPad Air, начиная с третьего поколения и iPad/iPad mini, начиная с пятого поколения.
Кроме того, обновления доступны для Apple TV HD и Apple TV 4K всех моделей и Apple Watch, начиная с Series 4.
В зоне риска
Подробностей о текущих атаках Apple пока не публикует, однако прежде было известно, что уязвимости нулевого дня в таких устройствах регулярно становились излюбленным инструментом спецслужб - и не слишком разборчивых в клиентуре поставщиков шпионских инструментов.
«Устройства Apple считаются более защищенными, вдобавок служат признаком статус, так что их обладатели всегда находятся в группе риска - риска привлечь избыточное внимание спецслужб, занимающихся слежкой и кибершпионажем», - отмечает эксперт по информационной безопасности компании SEQ Михаил Зайцев. По его словам, Apple нередко предпринимает дополнительные меры по защите своих клиентов. «Жаль только, что пост-фактум», - заключил Михаил Зайцев.
Всего Apple исправила с начала года 20 уязвимостей нулевого дня в своих продуктах.
4 декабря американское Агентство по защите инфраструктуры и кибербезопасности (CISA) предписало всем государственным органам установить патчи Apple на все устройства сотрудников.
Впрочем, как показывают недавние истории, указания CISA выполняются далеко не всегда.
Короткая ссылка
