Критическая уязвимость в #iOS позволяет выполнить вредоносный код в i-устройствах при посещении инфицированной страницы. Считается, что уязвимость активно эксплуатируется хакерами 👉
Apple выпустила срочное обновление для iOS и iPadOS, устраняющее CVE-2022-22620 . Они рекомендуют обновлять устройства как можно скорее, так как у компании есть основания полагать, что уязвимость уже активно эксплуатируют неизвестные субъекты.
Чем опасна уязвимость CVE-2022-22620
Как обычно, специалисты Apple не разглашают подробности уязвимости до завершения расследования и установки патчей у большинства пользователей. На данный момент говорят лишь о том, что уязвимость относится к Use-After-Free (UAF) , поэтому связана с некорректным использованием динамической памяти в приложениях. Его эксплуатация позволяет злоумышленнику создавать вредоносный веб-контент, обработка которого может привести к выполнению произвольного кода на устройстве жертвы.
Проще говоря, наиболее вероятным сценарием атаки является заражение устройства iPhone или iPad после посещения вредоносной веб-страницы.
Какие устройства и приложения уязвимы для эксплуатации CVE-2022-22620
Судя по описанию бага, уязвимость была обнаружена в движке WebKit, используемом во многих приложениях для macOS, iOS и Linux. В частности, на этом движке с открытым исходным кодом основаны все браузеры для iOS и iPadOS — то есть не только Safari по умолчанию в iPhone, но и Google Chrome, Mozilla Firefox и любые другие. Таким образом, даже если вы не используете Safari, эта уязвимость все равно затрагивает вас напрямую.
Apple выпустила обновления для iPhone 6s и новее; все модели iPad Pro, iPad Air версии 2 и новее, iPad начиная с 5-го поколения, iPad mini, начиная с 4-го поколения, и медиаплеер iPod touch, начиная с 7-го поколения.
Как оставаться в безопасности
Патчи, выпущенные Apple 10 февраля, изменяют механизмы управления памятью и таким образом предотвращают использование CVE-2022-22620. Поэтому для защиты вашего устройства должно быть достаточно установить обновления iOS 15.3.1 и iPadOS 15.3.1. Для установки патча ваше устройство должно быть подключено к сети Wi-Fi.
Если ваше устройство еще не показывает уведомление о том, что обновление готово к установке, вы можете заставить свою систему обновиться немного быстрее: самостоятельно зайдите в настройки системы (Настройки → Общие → Обновление ПО) и проверьте наличие обновлений ПО .
Чтобы получать оповещения о последних киберугрозах, непосредственно связанных с вашими устройствами и приложениями, мы рекомендуем использовать Kaspersky Free Antivirus 2022 , доступный для операционных систем Windows, macOS, Android и iOS. При обнаружении новой уязвимости в используемом вами программном обеспечении или утечке данных на посещаемом вами веб-сайте вы получите уведомление с советами о том, как защитить себя.