Apple быстро исправила в своем браузере Safari серьезную уязвимость в системе безопасности, затрагивающую ряд ее операционных систем.
Safari 15.6.1 для macOS Big Sur и Catalina уже доступен для загрузки, и всем, кто использует эти версии, рекомендуется немедленно обновиться.
Исправление для CVE-2022-32893 устраняет уязвимость записи вне границ в WebKit, движке Safari, который также используется другими приложениями с доступом в Интернет.
За пределами записи недостаток
Apple подтвердила, что уязвимость, как утверждается, уже используется в дикой природе, и в случае злоупотребления уязвимость позволяет злоумышленникам удаленно выполнять код на уязвимом устройстве.
«Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться», — говорится в сообщении Apple. консультант по безопасности (откроется в новой вкладке).
Уязвимость записи за пределами буфера возникает, когда субъект угрозы заставляет программу ввода записывать данные до начала или после конца буфера памяти. Это приводит к сбою программы, повреждению данных и позволяет злоумышленникам удаленно выполнять код. Исправление для Биг-Сура и Каталии в том же духе, что и для Монтерея — за счет улучшенной проверки границ.
Учитывая, что уязвимость активно эксплуатируется, Apple хранит молчание по этому поводу до тех пор, пока не будет исправлено большинство конечных устройств.
Компания заявила, что ей сообщил об ошибках анонимный пользователь, добавив, что теперь она улучшила свои границы, проверив обе ошибки.
В этом году у Apple было много работы по исправлению нулевых дней. В январе 2022 года были исправлены две такие уязвимости, а именно CVE-2022-22578 и CVE-2022-22594, которые позволяли выполнять произвольный код с привилегиями ядра.
Месяц спустя был исправлен еще один нулевой день, затронувший iPhone, iPad и Mac и позволивший злоумышленникам вызывать сбой ОС и запускать удаленное выполнение кода, а в марте Apple исправила CVE-2022-22674 и CVE-2022-. 22675, два нулевых дня злоупотребляли для выполнения кода с привилегиями ядра.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
