Apple выпустила обновления систем iOS, iPadOS, macOS, tvOS и браузера Safari. Установить эти апдейты очень важно, поскольку они устраняют уязвимость нулевого дня (0-day), приводящую к выполнению вредоносного кода.
Проблему отслеживают под идентификатором CVE-2022-42856. По словам самой Apple, это несоответствие используемых типов данных (type confusion) в браузерном движке WebKit. Использовать баг в атаке можно с помощью специально созданного веб-контента.
Купертиновцы отметили, что корпорация в курсе наличия активного эксплойта, который фигурирует в атаках против версий iOS до 15.1. Подробностей пока немного, но эксперты указывают, что такие атаки могут проходить при поддержке социальной инженерии и подбора учётных данных.
Стать жертвой киберпреступников можно достаточно легко. Для активации эксплойта пользователь должен посетить вредоносный или взломанный веб-ресурс.
Поскольку сторонние браузеры — Google Chrome, Mozilla Firefox и Microsoft Edge — в iOS и iPadOS также используют WebKit, атака не привязана к конкретному интернет-обозревателю.
Патчи доступны с выходом версий iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 и Safari 16.2.
