Apple закрыла «активно эксплуатировавшуюся» уязвимость нулевого дня, которая была у большинства iPhone

Как сообщает портал TechCrunch, компания Apple подтвердила слухи об устранении две недели назад уязвимости в системе безопасности iPhone, активно эксплуатировавшейся злоумышленниками. Примечательно, что обнаружить уязвимость компании помог конкурент.

Источник изображения: Alexander Andrews/unsplash.com

Известно, что обновлённая версия iOS 16.1.2, вышедшая 30 ноября и доставленная поддерживаемым iPhone, начиная с iPhone 8, представляет собой «важное обновление системы безопасности».

На своей тематической странице, посвящённой кибергурозам, Apple заявила, что обновление устранило уязвимость в WebKit — движке браузера, на котором работает Safari и другие приложения. Уязвимость позволяла запускать на устройствах пользователей вредоносный код. В Apple заявляют, что информацию о проблеме предоставила Threat Analysis Group компании Google, занимающаяся вопросами защиты от киберугроз, шпионского ПО и кибератак.

Как сообщает TechCrunch, уязвимости в WebKit часто используются при посещении вредоносных сайтов с использованием как самого браузера Safari, так и браузера, интегрированного в одно из приложений. Злоумышленники довольно часто пытаются использовать выявляемые в WebKit недочёты для «вторжения» в пользовательские операционные системы и доступа к конфиденциальным данным. Уязвимости в WebKit могут использоваться с привязкой к другим багам для взлома многоуровневой защиты устройств Apple.

Во вторник компания объявила, что выявленная уязвимость использовалась в версиях iOS, выпущенных до релиза iOS 15.1, вышедшей в октябре 2021 года. Для тех, кто всё ещё не обновился до iOS 16, Apple выпустила обновления iOS и iPadOS 15.7.2, версия позволяла закрыть брешь пользователям iPhone 6s и более поздних моделей, а также в некоторых моделях iPad.

Уязвимость получила маркировку CVE-2022-42856 или WebKit 247562. Пока неизвестно, почему Apple не сообщала о деталях в течение двух недель после её устранения — ни в Apple, ни в Google ситуацию не комментируют. С тех пор Apple уже выпустила обновление iOS 16.2, добавляющее сквозное шифрование в iCloud и другие новые функции.