Тот факт, что дефекты позволяют удаленно выполнять код, существуют во всех основных технологиях Apple OS и активно эксплуатируются, усиливает необходимость быстрого реагирования.
Исследователи безопасности призывают пользователей устройств Apple Mac, iPhone и iPad немедленно обновить операционные системы для каждой технологии до новых версий, чтобы снизить риск от двух критических уязвимостей в них, которыми активно пользуются злоумышленники.
Уязвимости нулевого дня позволяют злоумышленникам полностью контролировать затронутые устройства. Они затрагивают пользователей iPhone 6s и более поздних моделей, всех моделей iPad Pro, iPod touch (7-го поколения), iPad Ai2 и более поздних моделей, iPad 5-го поколения и более поздних моделей, а также iPad mini 4 и более поздних моделей. Уязвимости также затронут пользователей компьютеров Mac под управлением macOS Monterey, macOS Big Sur и macOS Catalina. Apple раскрыла информацию об уязвимостях и обновлениях, устраняющих их, в прошлую среду.
Уязвимости удаленного выполнения кода.
Одна из «нулевых дней» (CVE-2022-32893) присутствует в WebKit, браузерном движке Apple для Safari и всех веб-браузеров для iOS и iPadOS. Apple описала этот баг как связанный с проблемой записи за пределы границ, которую злоумышленники могут использовать для удаленного получения контроля над уязвимыми устройствами. «Обработка злонамеренно созданного веб-контента может привести к выполнению произвольного кода» - предупредила компания Apple в одном из своих сообщений об уязвимостях. «Apple известно о сообщении, что эта проблема может активно эксплуатироваться» - отметила компания.
Другая уязвимость (CVE-2022-32894) также является дефектом записи за пределы границ, который дает злоумышленникам возможность выполнить код с привилегиями уровня ядра на уязвимых устройствах. Такие уязвимости позволяют злоумышленникам получить полный доступ к базовому оборудованию. Компания заявила, что ей известно о сообщениях злоумышленников, активно использующих эту ошибку.
Apple заявила, что для решения обеих проблем в iOS 15.6.1, iPadOS 15.6.1, macOS Monterey 12.5.1, и Safari 15.6.1 была реализована «улучшенная проверка границ памяти».
Лиза Плагемьер, исполнительный директор Национального альянса по кибербезопасности, заявила, что широкое использование технологий Apple подвергает риску уязвимости как предприятия, так и потребителей. "Хотя киберпреступники, несомненно, будут пытаться получить доступ к личной информации о потребителях, доступ к бизнесу часто имеет гораздо больше шансов для злоумышленников", - говорит она.
Уязвимость WebKit имеет более широкое влияние.
В своем блоге Sophos назвала CVE-2022-32893 потенциально имеющим более широкое влияние по сравнению с другими уязвимостями, которые Apple раскрыла на прошлой неделе. Этот недостаток дает злоумышленникам возможность создавать «заминированные» веб-страницы, которые могут обманом заставить компьютеры Mac, iPhone и iPad запускать недоверенное программное обеспечение. «Проще говоря, киберпреступник может внедрить вредоносное ПО на ваше устройство, даже если вы всего лишь просмотрели невинную веб-страницу» - заявил производитель систем безопасности.
Уязвимость имеет широкое распространение, поскольку WebKit используется для рендеринга веб-страниц на мобильных устройствах Apple и широко применяется пользователями Mac. По словам Sophos, уязвимость затрагивает больше приложений и системных компонентов, чем сам браузер Safari, поэтому для снижения риска недостаточно просто избегать браузера.
«Компонент WebKit особенно проблематичен, поскольку он является движком браузера во всем программном обеспечении Apple» - заявляет Рик Холланд, директор по информационной безопасности и вице-президент по стратегии Digital Shadows. «Пользователям Apple следует немедленно установить заплатки. Эти обновления должны быть применены как можно скорее».
Пользователи и организации в опасности.
Как и многие другие, отметившие скудный характер раскрытия уязвимостей производителями программного обеспечения в последнее время, Холланд также сообщил, что для защитников было бы полезнее, если бы Apple предоставила больше контекста и подробностей о дефектах.
«Компания Apple не раскрывает технических деталей двух уязвимостей нулевого дня, появившихся на этой неделе» - заявляет он. Однако фраза «выполнить произвольный код с привилегиями ядра», как гласит раскрытие Apple, никогда не успокаивает».
Защитникам следует немедленно распространить исправления и разослать уведомления о том, что сотрудники должны установить исправления на личные iPhone, iPad и Mac. Эти обновления представляют собой возможность для повышения осведомленности о безопасности, чтобы обсудить риски для жизни сотрудников и предоставить инструкции по установке исправлений, в том числе о том, как включить автоматическое обновление.
Майк Паркин, старший технический инженер компании Vulcan Cyber, заявляет, что пока недостаточно информации, чтобы определить, насколько легко злоумышленники могут использовать эти уязвимости. Но сообщения о том, что эти уязвимости уже используются в природе, вызывают беспокойство, говорит он, особенно потому, что они позволяют удаленное выполнение кода. Продукты Apple широко используются как на корпоративном, так и на частном рынке, и часто дублируют друг друга для людей, работающих в среде Bring Your Own Device (BYOD). Учитывая это, а также относительное отсутствие подробностей, трудно сказать, кто подвергнется большему риску.
«Организациям следует внедрить соответствующие средства контроля, чтобы минимизировать риски для своей среды», - советует Паркин. «Те, кто разрешает использовать BYOD, столкнутся с дополнительными проблемами, поскольку им придется решать проблемы систем, которые они напрямую не контролируют».
Источник: https://www.darkreading.com