Критические уязвимости в CocoaPods угрожают приложениям для iOS и macOS

Исследователи безопасности нашли три критические уязвимости в CocoaPods, популярном инструменте для управления зависимостями в приложениях для iOS и macOS. Эти проблемы могут серьезно угрожать безопасности множества программ, используемых на устройствах Apple.

Первая уязвимость, обозначенная как CVE-2024-38368, получила высокий рейтинг 9,3 по шкале CVSS. Она позволяет злоумышленникам захватить контроль над пакетами программного обеспечения, изменяя их содержимое и добавляя вредоносный код. Проблема возникла из-за миграции на новый сервер в 2014 году, в результате которой многие пакеты остались без владельцев, и недобросовестные пользователи могли воспользоваться этим.

Вторая уязвимость, CVE-2024-38366, оценена в 10 баллов по шкале CVSS, что делает её одной из самых опасных. Она связана с небезопасным механизмом верификации электронной почты, позволяющим злоумышленникам выполнять код на сервере и заменять пакеты.

Третья уязвимость, CVE-2024-38367, получила 8,2 балла по шкале CVSS и также касается процесса верификации электронной почты. Злоумышленники могут отправить ссылку, которая выглядит безобидно, но на самом деле ведет на вредоносный сайт, чтобы получить доступ к сессионным токенам пользователей.

Команда CocoaPods оперативно исправила все три уязвимости в октябре 2023 года и сбросила сессии всех пользователей, чтобы предотвратить дальнейшие атаки. Всем разработчикам настоятельно рекомендуется обновить свои зависимости как можно скорее и проверить безопасность своих приложений.