Разработчики Apple представили обновленную версию iOS (14.4), где устранили сразу три уязвимости нулевого дня, которые уже могли эксплуатировать хакеры.

Обо всех трех проблемах компанию уведомил некий анонимный ИБ-исследователь. Известно, что первый 0-day баг влияет на ядро ​​операционной системы iOS (CVE-2021-1782), а два других были найдены в движке WebKit (CVE-2021-1870 и CVE-2021-1871).

Первая ошибка в ядре iOS описывается как состояния гонки, которое позволяет злоумышленнику повысить привилегии своего атакующего кода. Два нулевых дня в WebKit охарактеризованы как «логическая проблема», они позволяют удаленным злоумышленникам выполнить вредоносный код в браузерах Safari пользователей.

Похоже, все эти уязвимости являются частями одной цепочки эксплоитов, в рамках которой пользователей заманивают на вредоносный сайт, эксплуатирующий баг в WebKit для запуска кода, а затем происходит повышение привилегий для запуска кода на системном уровне и компрометации всей ОС.

Никаких подробностей об атаках, в ходе которых использовались эти баги, представители Apple пока не раскрывают.

1 комментарий

  1. Аватар

    irodream

    29.01.2021 в 11:22

    «Веселуха с Линуксом(зачёркнуто)[Эплом] началась. Чем дальше, тем больше будет таких сюрпризов и все сказки о безопасности исчезнут.»

Оставить мнение