На этой неделе разработчики Apple выпустили обновления безопасности, устранив в своих продуктах сразу три уязвимости нулевого дня. По данным компании, все эти проблемы уже могли использоваться хакерами.
Все баги затрагивают браузерный движок WebKit, лежащий «в сердце» Safari. Кроме того, WebKit работает и в большинстве продуктов компании, как встроенный компонент (в том числе в iPadOS, tvOS и watchOS), который используется для отображения веб-контента, когда нет необходимости загружать полноценный браузер.
Apple представила исправления, выпустив macOS Big Sur 11.3.1, iOS 12.5.3, iOS 14.5.1, iPadOS 14.5.1 и watchOS 7.4.1, а упомянутым выше 0-day уязвимостям были присвоены идентификаторы CVE-2021-30663, CVE- 2021-30665 и CVE-2021-30666.
Также стоит отметить, что в iOS 12.5.3 вошел дополнительный патч для бага CVE-2021-30661. По данным СМИ, это четвертая проблема нулевого дня в WebKit, для которой инженеры Apple уже выпускали исправления неделей ранее (iOS, iPadOS, watchOS и tvOS).
Пока в компании не раскрывают детали уязвимостей, а также информацию о возможных атаках на них. Все проблемы пока описаны одинаково лаконично: «обработка вредоносного веб-контента может привести к выполнению произвольного кода».