Apple спешно залатала «дыры» в ПО для iPhone, iPad и Mac, в которые уже ринулись хакеры
Соблюдайте пределы
Компания Apple выпустила экстренные патчи к двум уязвимостям, которые затрагивали программные оболочки новейших версий iPhone, iPad и Mac, пишет CNews.
Первая, CVE-2022-22674 обнаружилась в графическом драйвере Intel: она относится к типу out-of-bondsread — считывание данных вне пределов выделенного диапазона памяти. С ее помощью можно считывать содержимое памяти ядра.
Вторая уязвимость, CVE-2022-22675 позволяет записывать данные за пределами выделенной области памяти, и, как следствие, позволяет запускать произвольный код в контексте приложения с правами уровня ядра. Этот баг выявлен в медиа-декодере AppleAVD.
В целом уязвимыми оказываются компьютеры Mac под управлением macOS Moneterey, iPhone модели 6s и новее, все версии iPad Pro, iPad пятого поколения и позже, iPad Air 2 и позже, iPad mini 4 и iPod touch седьмого поколения.
Уязвимость устраняется обновлениями iOS 15.4.1, iPadOS 15.4.1 и macOS Monterey 12.3.1. Эти обновления реализуют надлежащую валидацию вводимых и считываемых данных.
Ставьте патчи
В Apple признали, что эти уязвимости уже активно эксплуатируются, но подробную информацию об атаках раскрывать не стали. Возможно, публикация о них последует позднее, когда обновления получит большее число устройств. Обладателям вышеперечисленных гаджетов настоятельно рекомендуется установить патчи как можно скорее.
«Описанные уязвимости встречаются часто и, как правило, говорят о не самом высоком уровне авторов кода, — говорит Алексей Водясов, технический директор компании SEQ. — Обнадеживает лишь то, что обновления для устройств Apple рассылаются централизованно, так что есть надежда, что они будут установлены достаточно оперативно, до того, как злоумышленники нанесут много вреда».
Как отмечается в публикации Bleeping Computer, только с начала 2022 г. Apple исправила пять уязвимостей нулевого дня. Некоторые из них допускали запуск произвольного кода удаленно. Как минимум одна использовалась в атаках на iPhone, iPad и ПК Apple.
В течение 2021 г. исправление уязвимостей нулевого дня в продуктах Apple носило систематический характер. Большая часть исправленных багов использовалась в практических атаках. В частности, вендору пришлось устранять ошибки, сделавшие возможным заражение устройств шпионским ПО Pegasus.
Теги:
похожие материалы
Пассворк стал первым менеджером паролей в России c сертификацией ФСТЭК
Компания Пассворк объявила о получении сертификата ФСТЭК России № 5063 по 4-му уровню доверия.
«Лаборатория Касперского» и hh.ru выяснили, как компании выстраивают киберзащиту и обучают сотрудников
Российские компании планомерно выстраивают системный подход к обучению сотрудников кибербезопасности.
Доход обещают пассивный, а списание вполне реальное
МВД предупредило о мошеннической схеме с «пассивным заработком» на VPS-серверах.
Дешевле агрегатора, но без защиты: «серое» такси ушло в чаты на миллионы пользователей
В России за два года почти втрое выросло число чатов, групп и сообществ с нелегальными и «серыми» такси.
Разработчики говорят, что ИИ помогает работать быстрее, но оценки могут быть завышены
Специалисты METR опубликовали исследование о том, как технические специалисты оценивают влияние ИИ-инструментов на свою продуктивность.
Больше половины банков используют устаревшие ИТ-системы
Согласно исследованию RED Security, в большинстве отечественных банков существуют системные проблемы с кибербезопасностью, создающие риски для бизнеса на фоне растущей активности хакеров и мошенников.
Эксперт компании «Газинформсервис»: «Принято считать, что кибербезопасность глобальна, но хакеры специализируются на конкретных странах»
Исследователи обнаружили, что новый банковский троян TCLBanker способен самостоятельно распространяться по принципу сетевого червя как через один из мессенджеров, так и через почтовый клиент Microsoft Outlook, рассылая фишинговые сообщения от имени заражённых пользователей.
«АйТи Бастион» присоединился к Ассоциации РУССОФТ
Российский разработчик решений в области защиты привилегированного доступа и автоматизации «АйТи Бастион» вошел в Ассоциацию разработчиков программного обеспечения РУССОФТ — одному из крупнейших объединений ИТ-компаний страны, участвующему в развитии отечественной ИТ-индустрии и продвижении российских технологий на внутреннем и зарубежных рынках.
Российским разработчикам рекомендуют переходить с GitHub на российские платформы
Депутат Госдумы по информационной политике Антон Горелкин заявил, что российским разработчикам стоит переносить проекты с GitHub в другие репозитории.
IV Форум «Технологии доверенного искусственного интеллекта»
В Москве 13 мая проходит IV Форум «Технологии доверенного искусственного интеллекта» — авторитетная площадка по научным, прикладным и законодательным аспектам разработки и применения решений на базе ИИ.