З січня 2022 року Apple щомісяця виявляла по одній вразливості нульового дня – остання вийшла з iOS 16 і її могли активно використовувати хакери протягом останнього місяця. Раніше на цьому тижні Apple випустила нові версії iOS та iPadOS 16, які закривають вразливість та рекомендує користувачам сумісних пристроїв встановити їх.

У понеділок Apple випустила оновлення для iOS 16 та iPadOS 16, що усувають вразливість нульового дняВразливість нульового дня — вразливість програмного забезпечення, ще невідома користувачам або розробникам і проти якої ще не розроблені механізми захисту., яка дозволяє зловмисникам виконувати код із привілеями в режимі ядра.

Про помилку Apple повідомив анонім 11 жовтня. Компанія з Купертіно визнала, що хакери, можливо, її вже використали.

Зловмисники могли використовувати вразливість (CVE-2022-42827) для отримання несанкціонованого доступу до конфіденційної інформації, заміни адрес інтерфейсів, виклику відмови в обслуговуванні цільової системи або виконання довільного коду.

Наприклад, якщо в ОС визначено, що масив пам’яті складається з трьох елементів, спроба запису четвертого призведе до помилки. Якщо алгоритм не запрограмований на обробку цього виключення, хакер може свідомо створити помилку і використовувати її для виконання довільного коду в чутливій області операційної системи, наприклад, у ядрі (приклад нижче).

У примітках до виправлень для iOS 16.1 та iPadOS 16 говориться, що оновлення виправляє недолік “покращеною перевіркою кордонів”. Вражені пристрої – iPhone 8 і новіші моделі, всі моделі iPad Pro, iPad Air третього покоління і новіші, а також моделі iPad і iPad mini п’ятого покоління і новіші.

Apple закликає користувачів оновитися якнайшвидше.

Експлойти нульового дня не така вже й рідкість: тільки для Apple це восьма вразливість за рік. Google зафіксувала сім таких помилок, а Microsoft – п’ять.

Екстрений патч Apple містить ще 19 виправлень безпеки, у тому числі дві інші помилки на рівні ядра, що дозволяють виконувати код (дослідники виявили обидва та повідомили про них компанії, перш ніж вони могли бути використані).

Джерело: Techspot