Инженеры из компании Apple выпустили обновления для iOS, iPadOS и macOS. В этих исправлениях был устранен критический баг в WebKit (CVE-2022-22620), который позволял удаленно выполнить произвольный код на устройствах Apple.
«Обработка вредоносного веб-контента может привести к выполнению произвольного кода. У Apple есть данные о том, что эта проблема, вероятно, уже активно используется [злоумышленниками]», — гласит официальный бюллетень безопасности, но никаких подробностей об этих атаках пока нет.
Уязвимость в WebKit, исправленная в составе iOS 15.3.1, iPadOS 15.3.1 и macOS Monterey 12.2.1, была обнаружена анонимным ИБ-исследователем и представляет собой use-after-free проблему, связанную с повреждением информации в памяти. Таким образом, проблема затрагивает iPhone 6s и новее, все модели iPad Pro, iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch 7-го поколения, компьютеры Mac под управлением macOS Monterey.
Стоит отметить, что это уже третья уязвимость нулевого дня, исправленная в продуктах Apple в этом году. Ранее компания устранила два 0-day бага (CVE-2022-22587 и CVE-2022-22594), которые позволяли злоумышленникам выполнять произвольный код с привилегиями ядра, а также отслеживать действия пользователей в интернете и раскрывать их личности.
Теперь специалисты Apple уверяют, что код WebKit в безопасности за счет улучшенного управления памятью.