На этой неделе разработчики Apple выпустили исправления для старых устройств iPhone и iPad, чтобы устранить уязвимость, которую уже атаковали хакеры. Баг имеет идентификатор CVE-2022-32893 и может быть использован для выполнения произвольного кода при посещении пользователем вредоносного сайта.
Проблема CVE-2022-32893 (8,8 баллов по шкале CVSS) представляет собой проблему out-of-bounds записи в WebKit (движке, используемом Safari и другими приложениями, которые могут выходить в интернет). Apple заявляет, что уязвимость тоже позволяет выполнить произвольный код. Поскольку уязвимость была обнаружена в веб-движке, может использоваться удаленно, просто через посещение вредоносного сайта.
Нужно отметить, что эти исправления продолжают череду патчей, выпущенных Apple в середине августа 2022 года. Тогда компания уже исправила проблемы CVE-2022-32894 и CVE-2022-32893 в составе macOS Monterey 12.5.1 и iOS 15.6.1 и iPadOS 15.6.1, а теперь пришла очередь более старых устройств.
Теперь обновление для iOS 12.5.6 доступно для iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).
О зафиксированных атаках в Apple пока не сообщают ничего. Очевидно, таким образом компания стремится дать пользователям больше времени на установку патчей, прежде чем другие злоумышленники узнают подробности о баге и начнут собственные атаки на уязвимые iPhone и iPad.
