Компания Apple выпустила патчи для уязвимости CVE-2022-42856 в Webkit, которую уже используют хакеры. В конце прошлого года проблема была устранена на более современных устройствах, а теперь очередь дошла и до владельцев старых девайсов.
Проблема, которую обнаружили эксперты Google Threat Analysis Group, представляла собой уязвимость типа type confusion в движке Webkit. По сути, этот баг позволял выполнить произвольный код на уязвимом устройстве через вредоносный веб-контент. Заманив жертву на вредоносный сайт, атакующие получали возможность выполнять команды в операционной системе, развертывать дополнительные шпионские программы или малварь, а также выполнять другие вредоносные действия.
Теперь уязвимость была исправлена на следующих устройствах: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения). Напомню, что ранее патчи уже получили iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (первого поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad пятого поколения и новее, iPad mini 4 и новее и iPod touch (седьмого поколения).
В Apple сообщают, что у компании уже есть данные об активной эксплуатации этой уязвимости, хотя подробности пока не раскрываются. Вероятно, Apple хочет дать пользователям больше времени на установку исправлений, прежде чем другие злоумышленники узнают подробности о баге и создадут собственные эксплоиты, нацеленные на iPhone и iPad.