Быстрые патчи для iOS и macOS устраняют уязвимость нулевого дня в WebKit

Быстрые патчи для iOS и macOS устраняют уязвимость нулевого дня в WebKit

Быстрые патчи для iOS и macOS устраняют уязвимость нулевого дня в WebKit

Apple выпустила очередной набор быстрых патчей (Rapid Security Response, RSR), которые должны устранить новую уязвимость нулевого дня (0-day). Поскольку злоумышленники уже используют её в атаках на полностью пропатченные iPhone, iPad и macOS-устройства, обновление нужно установить как можно скорее.

Корпорация из Купертино отметила в примечаниях к заплаткам для iOS и macOS следующее:

«Apple в курсе сообщений об эксплуатации уязвимости в реальных кибератаках. Апдейт Rapid Security Response обеспечивает защиту от эксплойта, поэтому рекомендован к установке всем пользователям».

Брешь, о которой идёт речь, получила идентификатор CVE-2023-37450. Информация о ней поступила разработчикам от неназванного исследователя в области кибербезопасности.

Уязвимость затрагивает браузерный движок WebKit и позволяет атакующим выполнить код на целевых устройствах. Для эксплуатации достаточно заставить пользователя открыть веб-страницу с вредоносным контентом.

Apple избавилась от бага, улучшив проверки. Список свежих обновлений выглядит так:

  • macOS Ventura 13.4.1 (a)
  • iOS 16.5.1 (a)
  • iPadOS 16.5.1 (a)
  • Safari 16.5.2

Напомним, в начале мая купертиновцы выпустили первые быстрые патчи для iOS и macOS. Тогда, к сожалению, не обошлось без небольших проблем: при попытке установить апдейт многие пользователи получали сообщение «невозможно проверить подлинность Rapid Security Response, устройство больше не подключено к интернету».

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru