Apple рекомендует обновить iOS для ликвидации опасной уязвимости в движке WebKit

Компания Apple выпустила срочное обновление для iOS и iPadOS, закрывающее уязвимость CVE-2022-22620. Компания рекомендует как можно скорее обновить устройства, поскольку у нее есть основания считать, что уязвимость уже активно эксплуатируется неизвестными злоумышленниками.

Эксперты Apple не раскрывают деталей уязвимости, пока не будет завершено расследование, а большая часть пользователей не установит патчи. На данный момент известно, что уязвимость относится к классу Use-After-Free (UAF), то есть, связана с некорректным использованием программами динамической памяти. Ее эксплуатация позволяет атакующему создать вредоносный веб-контент, обработка которого может привести к исполнению произвольного кода на мобильном устройстве жертвы.

Проще говоря, в наиболее вероятном сценарии атаки эта уязвимость, судя по всему, может быть использована для заражения iPhone или iPad после посещения вредоносной веб-страницы.

Судя по описанию проблемы, уязвимость найдена в движке WebKit, используемом в множестве приложений под macOS, iOS и Linux. В частности, на базе этого движка с открытым исходным кодом построены все браузеры для iOS и iPadOS – то есть не только Safari, установленный на айфонах по умолчанию, но также и Google Chrome, Mozilla Firefox и любые другие. Так что даже если вы не пользуетесь Safari, эта уязвимость все равно напрямую вас касается.

В данный момент для загрузки доступны обновления для телефонов iPhone начиная с версии 6s и более новых; всех моделей планшетов iPad Pro, iPad Air версии 2 и более свежих; iPad начиная с пятого поколения, iPad mini, начиная с четвертого, а также медиапроигрывателя iPod touch начиная с 7 поколения.

Выпущенный 10 февраля патч изменяет механизмы управления памятью и таким образом предотвращает эксплуатацию CVE-2022-22620. Так что для того чтобы обезопасить свое устройство, достаточно установить обновления iOS 15.3.1 и iPadOS 15.3.1. Для установки патча устройству потребуется подключение к сети Wi-Fi.