1098 подписчиков
Давняя уязвимость Safari позволяет заразить устройства от Apple
Охотники за уязвимостями нулевого дня из команды Google Project Zero взялись за 0day дефект, который был исправлен в 2013 году и вновь вернулся в строй в 2016 году.
Брешь в обороне устройств от Apple, известная как CVE-2022-22620, получила оценку уязвимости CVSS 8,8/10. Она основана на слабых местах WebKit. Последняя представляет из себя Apple-платформу, предлагающую разработчикам инструменты, связанные с интеграцией механизма рендеринга веб-страниц в браузер. Как известно, вышедший еще в 2003 году Safari основан на движке, производном от KHTML, механизме рендеринга среды KDE, используемого в браузере Konqueror.
Safari является флагманским веб-браузером Apple и ветераном Mac OS X.
Уязвимость безопасности касается API истории WebKit, дефект которой позволяет хакерам внедрять и выполнять вредоносный код в активном режиме.
По словам Стоун, одного из экспертов, обнаруживших уязвимость, в атаке используются те же ошибки, что и в
версии вредоноса 2016 года. Но используются другие пути атаки на пользователя. Код был изменен, чтобы обойти все меры защиты, установленные специалистами Apple с той поры.
Более пяти лет Safari находился под риском атак вследствие уязвимости безопасности второго поколения. В феврале 2022 года Apple выпустила обновление для Safari, iOS, iPadOS и macOS, которое должно преодолеть этот недостаток. Остается надеяться, что в этот раз труд программистов Apple достигнет цели.
1 минута
23 июня 2022