Apple выпустила экстренные обновления безопасности, устраняющие критическую уязвимость в WebKit (движке, который используется в Safari и всех браузерах на iOS). Проблема потенциально позволяла злоумышленникам выполнять произвольный код на устройстве через вредоносные веб-страницы, поэтому пользователям рекомендуется как можно быстрее установить обновления.
Что произошло
Уязвимость затрагивает WebKit который является ключевым компонентом, отвечающим за обработку веб-контента. Ошибка связана с некорректной работой с памятью: при определённых условиях браузер может обращаться к уже освобождённым участкам памяти.
Такие баги особенно опасны. Если атакующий подготовит специальный сайт или встроит вредоносный код в страницу, это может привести к:
сбою приложения;
утечке данных;
выполнению произвольного кода на устройстве.
Почему это важно
WebKit это не просто часть Safari. На iPhone и iPad он обязателен для всех браузеров, включая сторонние. Это означает, что уязвимость фактически затрагивает всю экосистему веб-просмотра на устройствах Apple.
Подобные ошибки уже использовались в реальных атаках. В предыдущих случаях уязвимости WebKit применялись в сложных целевых атаках, где злоумышленники комбинировали несколько багов для полного захвата устройства.
Какие устройства под угрозой
Проблема затрагивает широкий спектр устройств Apple, включая:
iPhone
iPad
Mac
Apple Watch
Apple TV
гарнитуры Vision Pro
Фактически речь идёт о всех платформах, где используется WebKit.
Как Apple устранила проблему
Компания исправила уязвимость за счёт улучшенной проверки данных и более безопасной работы с памятью. Это стандартный подход для подобных багов, когда риск связан с повреждением памяти (memory corruption).
Обновления уже выпущены для:
iOS и iPadOS
macOS
Safari
других платформ Apple
После установки обновлений эксплуатация уязвимости становится невозможной.
Что делать пользователям
Apple традиционно не раскрывает все технические детали сразу, чтобы не облегчать задачу злоумышленникам. Но даже без подробностей ясно: речь идёт о серьёзной проблеме.
Рекомендуется:
немедленно установить последние обновления системы;
включить автоматические обновления;
избегать перехода по подозрительным ссылкам.
В случае с WebKit достаточно просто открыть вредоносную страницу, чтобы атака началась. Дополнительное действие от пользователя может не потребоваться.
Общий тренд: атаки через браузер
Уязвимости в браузерах остаются одним из самых популярных способов атак. Они удобны тем, что не требуют установки вредоносного ПО, достаточно заманить пользователя на нужный сайт.
Особенно опасны цепочки эксплойтов, где:
WebKit используется для первичного взлома,
затем подключаются другие уязвимости для выхода из песочницы,
и в итоге злоумышленник получает полный контроль над устройством.
Такие сценарии уже встречались в атаках на пользователей iOS.
Источник: securityaffairs