Apple заявляет, что iOS 14.5.1 и macOS 11.3.1 исправляют недостатки WebKit, которые, возможно, активно использовались

Сегодня Apple выпустила обновления для iPhone, iPad, Mac и Apple Watch с несколькими обновлениями безопасности. Исправленные недостатки связаны с вредоносным веб-контентом, который может привести к выполнению произвольного кода — и Apple заявляет, что они, возможно, активно использовались.

Сегодня Apple выпустила iOS 14.5.1 и iOS 12.5.3, macOS 11.3.1 и watchOS 7.4.1, при этом основными изменениями являются исправления безопасности (исправление ошибки прозрачности отслеживания приложений и для iOS). Поэтому не забудьте установить самые последние обновления, чтобы получить самую последнюю защиту.

В вспомогательных документах Apple подробно описала исправленные веб-недостатки. Первый недостаток означал, что «обработка злонамеренно созданного веб-контента может привести к выполнению произвольного кода». Здесь сказалось повреждение памяти, и Apple заявляет, что исправила проблему с помощью «улучшенного управления состоянием».

Второй недостаток также связан с тем же потенциалом для вредоносного веб-контента, потенциально выполняющего произвольный код, и Apple утверждает, что он также мог быть использован в дикой природе. На этом Apple решила проблему с целочисленным переполнением и «улучшенной проверкой ввода».

WebKit

Доступно для: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.

Описание.Проблема с повреждением памяти устранена путем улучшенного управления состоянием.

CVE-2021-30665: yangkang (@dnpushme), нулкипер и bianliang из 360 ATA

WebKit

Доступно для: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.

Описание. Целочисленное переполнение устранено путем улучшенной проверки ввода.

CVE-2021-30663: анонимный исследователь

Между тем, для старых iPhone и iPad в iOS 12.5.3 были исправлены две дополнительные проблемы безопасности. Apple исправила переполнение буфера / улучшила обработку памяти, а также обновила «использование после освобождения».

WebKit

Доступно для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2021-30666: yangkang (@dnpushme), нулкипер и bianliang из 360 ATA

WebKit Хранилище

Доступно для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.

Описание. Проблема использования после бесплатного устранена путем улучшенного управления памятью.

CVE-2021-30661: yangkang (@dnpushme), нулкипер и bianliang из 360 ATA