Час «пропатчити» свої айфони. Apple оприлюднила свідчення, того що хакери можуть активно використовувати дві уразливості в програмному забезпеченні компанії для отримання контролю над пристроями користувачів.
Компанія випустила» заплатки ” безпеки з попередженням про можливість віддаленого запуску скриптів, коли хакер може ініціювати, наприклад, завантаження на пристрій шкідливої програми.
Перше “отвір в безпеці”, зареєстроване під номером cve-2021-30860, особливо тривожно, тому що дозволяє отримати контроль над пристроєм жертви лише відправивши останньої деяке повідомлення (ніяких дій від атакованого користувача не потрібно). І зачіпає зазначена уразливість майже всю екосистему apple-ios, ipados, macos catalina і bigsur, tvos…, та й watchos.
Apple поспішає своїх користувачів негайно оновитися до ios і ipados 14.8, macos big sur 11.6, оновлення безпеки 2021-005 для macos catalina (і safari 14.1.2), tvos 14.7 і, нарешті, до watchos 7.6.2.
Apple заявляє, що вразливість виявила група citizen lab з університету торонто, яка підозрює ізраїльську компанію nso group, яка, в свою чергу, експлуатує описану «дірку» для допомоги своєму (і не тільки) уряду в стеженні.
“точкою входу” є стандартний додаток imessage, через яке атакуючий хакер або бот відправляє спеціально створений pdf файл. Як стверджує citizen lab, nso group нібито використовувала цю вразливість для поширення програми-шпигуна відомої як pegasus, яка може непомітно для користувача отримувати контроль над iphone.
Співробітник citizen lab виявив уразливість вивчаючи iphone деякого анонімного саудівського активіста, знайшовши на ньому підозрілі gif файли, які насправді були adobe pdf файлами з елементами дозволяють «експлойтіть» недоробку apple.
Citizen lab попереджає, що, швидше за все, nso group використовувала уразливість з лютого поточного року інфікуючи пристрої apple з новітніми версіями програмного забезпечення.
Друга уразливість (з кодом cve-2021-30858) зачіпає тільки ios, ipados і safari браузер через webkit «движок». Apple не називає ім’я виявив її фахівця. Атака можлива при обробці пристроєм користувача зловмисно-створеного веб-контенту.
Update:
