Apple випустила екстрений патч для виправлення двох вразливостей, що активно експлуатуються зловмисниками в WebKit – движку веббраузера Safari. Ці вразливості служили шляхом атак на всі смартфони iPhone, планшети iPad і комп’ютери на macOS.
Компанія Apple зіткнулася з двома вразливостями WebKit – відкритому браузерному двигуні, який лежить в основі інтернет-браузера Safari. Це ключовий компонент, який відповідає за відображення вебсторінок та виконання JavaScript-коду на пристроях з операційними системами Apple, таких як iPhone, iPad та Mac.
Перша вразливість, що отримала ідентифікатор CVE-2023-42916, дозволяла хакерам отримати доступ до захищених ділянок пам’яті пристрою. Це могло призвести до несанкціонованого вилучення конфіденційної інформації. Друга вразливість CVE-2023-42917 була пов’язана з помилкою, внаслідок якої могло відбуватися спотворення даних у пам’яті. Таке спотворення даних могло бути використане для виконання шкідливого коду, що є серйозною загрозою для безпеки пристроїв.
Про недоробки WebKit стало відомо завдяки досліднику у сфері кібербезпеки Клеману Лесіну (Clément Lecigne) із Google Threat Analysis Group. Крім того, Лесін нещодавно виявив аналогічну вразливість у браузері Chrome, що також вимагало випуску негайного патчу для її усунення.
Передбачається, що хакери експлуатували вразливість «яблучних» пристроїв, надсилаючи жертвам заражені вебсторінки. Це могло відбуватися через фішингові повідомлення або підроблені сайти, що наголошує на необхідності обережності при роботі з неперевіреними джерелами.
У відповідь на загрозу Apple випустила оновлення безпеки для iOS 17.1.2, iPadOS 17.1.2 та macOS Sonoma 14.1.2, а також для браузера Safari.
