Опасная уязвимость в движке WebKit требует срочного обновления iOS

Уязвимость CVE-2022-22620 в WebKit, обнаруженная анонимным экспертом, требует немедленного обновления мобильных устройств Apple.

Уязвимость CVE-2022-22620 в WebKit, обнаруженная анонимным экспертом, требует немедленного обновления мобильных устройств Apple

Apple выпустила срочное обновление для iOS и iPadOS, закрывающее уязвимость CVE-2022-22620. Компания рекомендует как можно скорее обновить устройства, поскольку у нее есть основания считать, что уязвимость уже активно эксплуатируется неизвестными злоумышленниками.

Чем опасна уязвимость CVE-2022-22620

Эксперты Apple не раскрывают деталей уязвимости, пока не будет завершено расследование, а большая часть пользователей не установит патчи. На данный момент известно, что уязвимость относится к классу Use-After-Free (UAF), то есть связана с некорректным использованием программами динамической памяти. Ее эксплуатация позволяет атакующему создать вредоносный веб-контент, обработка которого может привести к исполнению произвольного кода на мобильном устройстве жертвы.

Проще говоря, в наиболее вероятном сценарии атаки эта уязвимость, судя по всему, может быть использована для заражения iPhone или iPad после посещения вредоносной веб-страницы.

Какие устройства и приложения уязвимы

Судя по описанию проблемы, уязвимость найдена в движке WebKit, используемом в множестве приложений под macOS, iOS и Linux. В частности, на базе этого движка с открытым исходным кодом построены все браузеры для iOS и iPadOS — то есть не только Safari, установленный на айфонах по умолчанию, но также и Google Chrome, Mozilla Firefox и любые другие. Так что даже если вы не пользуетесь дефолтным Safari, эта уязвимость все равно напрямую вас касается.

В данный момент для загрузки доступны обновления для телефонов iPhone начиная с версии 6s и более новых; всех моделей планшетов iPad Pro, iPad Air версии 2 и более свежих; iPad начиная с пятого поколения, iPad mini, начиная с четвертого, а также медиапроигрывателя iPod touch начиная с 7 поколения.

Как оставаться в безопасности

Выпущенный 10 февраля патч изменяет механизмы управления памятью и таким образом предотвращает эксплуатацию CVE-2022-22620. Так что для того чтобы обезопасить свое устройство, достаточно установить обновления iOS 15.3.1 и iPadOS 15.3.1. Для установки патча устройству потребуется подключение к сети Wi-Fi.

Если на вашем устройстве не показывается уведомление о том, что патч готов к установке, имеет смысл самостоятельно зайти в настройки системы (Настройки → Основные → Обновление ПО) и проверить доступность обновлений программного обеспечения.

Для того чтобы оперативно узнавать о свежих киберугрозах, напрямую касающихся используемых вами устройств и приложений, мы рекомендуем использовать приложение Kaspersky Security Cloud, доступное для операционных систем Windows, macOS, Android и iOS. При обнаружении уязвимости в софте, который вы используете или утечки на сайте, который вы посещаете, вам придет уведомление с рекомендациями о том, как защититься.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.