Xakep #305. Многошаговые SQL-инъекции
Равно как и другие производители, на этой неделе компания Apple выпустила обновления для своих продуктов. Среди прочего, разработчики исправили десятую уязвимость нулевого дня в этом году, причем известно, что новый баг активно использовался в атаках на пользователей iPhone.
Свежий 0-day фигурирует в бюллетенях безопасности, выпущенных для iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 и macOS Ventura 13.1. При этом специалисты Apple предупредили, что уязвимость «могла активно использоваться» хакерами. Пока никаких подробностей об этих атаках и самом баге не сообщается, так как в компании дают пользователям больше времени на установку патчей.
Проблема, которую обнаружили эксперты Google Threat Analysis Group, получила идентификатор CVE-2022-42856 и представляет собой уязвимость типа type confusion в движке Webkit. По сути, этот баг позволял выполнить произвольный код на уязвимом устройстве через вредоносный веб-контент. Атакующие получали возможность выполнять команды в операционной системе, развертывать дополнительные шпионские программы или малварь, а также выполнять другие вредоносные действия.
Apple устранила 0-day на следующих устройствах: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (первого поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad пятого поколения и новее, iPad mini 4 и новее и iPod touch (седьмого поколения).
