Apple заявляет, что iOS 14.8 исправляет атаку iPhone, которая побеждает защиту Blastdoor

Apple заявляет, что iOS 14.8 исправляет атаку iPhone, которая побеждает защиту Blastdoor

Apple опубликовала полный документ поддержки, в котором подробно описаны новые возможности iOS 14.8, watchOS 7.6.2, iPadOS 14.8 и macOS Big Sur 11.6. Apple заявляет, что обновления устраняют уязвимости системы безопасности, которые «могли активно эксплуатироваться в дикой природе».

В частности, Apple заявляет, что iOS 14.8 и iPadOS 14.8 устраняют уязвимости CoreGraphics и WebKit, которые могли активно эксплуатироваться. Об уязвимости CoreGraphics сообщила Citizen Lab, которая еще в августе обнаружила атаку iPhone с нулевым щелчком, которая победила защиту Apple Blastdoor.

Уязвимость, о которой сообщает The Citizen Lab, предположительно использовалась для нацеливания на бахрейнских активистов, чьи iPhone были успешно взломаны с помощью шпионского ПО Pegasus от NSO Group.

В опубликованном сегодня документе поддержки Apple описывает уязвимость и способы ее устранения:

CoreGraphics

Доступно для: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного PDF-файла может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.

Описание. Целочисленное переполнение устранено путем улучшенной проверки ввода.

CVE-2021-30860: лаборатория Citizen Lab

Также существует исправление уязвимости WebKit:

WebKit

Доступно для: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.

Описание.Проблема использования после освобождения устранена путем улучшенного управления памятью.

CVE-2021-30858: анонимный исследователь

Полную информацию о сегодняшних обновлениях безопасности можно найти по следующим ссылкам:

Соцсети