Сегодня 01 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Уязвимость в процессорах Apple позволяет злоумышленникам извлекать данные из браузеров под iOS и macOS

Группа исследователей в сфере информационной безопасности обнаружила уязвимость в продуктах Apple, эксплуатируя которую злоумышленники могут похищать конфиденциальные данные из браузера Safari. Уязвимость, получившая название iLeakage, затрагивает устройства на базе iOS и macOS, оснащённые фирменными процессорами Apple A- и M-серий.

 Источник изображения: Apple

Источник изображения: Apple

Атака с использованием уязвимости iLeakage основана на функции спекулятивного выполнения команд, которая позволяет процессору выполнять предварительную выборку инструкций для сокращения времени загрузки данных. В процессе работы эта функция может обрабатывать конфиденциальные данные, к которым могут получить доступ злоумышленники, проведя атаку по сторонним каналам.

Для эксплуатации уязвимости iLeakage исследователи создали вредоносный веб-сайт. Когда владелец уязвимого устройства посещает этот ресурс с помощью API JavaScript скрытно открывается другой сайт, на котором отображаются данные, выводимые пользователю в основном окне. За счёт этого злоумышленники получают возможность доступа к любой конфиденциальной информации, которую через браузер Safari вводит жертва атаки на своём Mac или iPhone.

Исследователи опубликовали несколько видео, в которых продемонстрировали, как уязвимость iLeakage может быть использована для кражи данных. В частности, с помощью этой уязвимости они сумели получить доступ к содержимому почтового ящика Gmail жертвы, а также восстановили историю просмотров на YouTube на целевом устройстве и похитили данные для авторизации в Instagram, хранившиеся в Safari и автоматически подставлявшиеся браузером в соответствующие поля при авторизации.

 Источник изображения: pcmag.com

Источник изображения: pcmag.com

Отмечается, что уязвимость iLeakage затрагивает не только Safari, но и другие браузеры для iOS. Это связано с тем, что Apple требует от разработчиков сторонних браузеров использования движка WebKit в своих продуктах. Хорошая новость в том, что для реализации атаки с использованием уязвимости iLeakage требуется высокий уровень технических знаний, что, возможно, является основной причиной невысокой популярности атак через функцию спекулятивного выполнение команд в сообществе киберпреступников.

Исследователи уведомили Apple о проблеме в сентябре 2022 года. Однако с тех пор компания разработала только «средство устранения уязвимости», которое необходимо активировать вручную. На этом фоне Apple заявила о намерении выпустить патч для исправления этой уязвимости. Согласно имеющимся данным, он будет включён в следующий пакет обновлений для программного обеспечения.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Яндекс» открыл бесплатный доступ к своей лучшей нейросети YandexGPT 5 Pro через «Чат с Алисой» 19 мин.
Стартапу xAI Илона Маска удалось недавно привлечь в общей сложности $10 млрд 4 ч.
Руководство OpenAI признало, что конкуренция за ценные кадры вынуждает его шевелиться 7 ч.
Марк Цукерберг собрал звёздную команду для разработки суперинтеллекта 8 ч.
Microsoft испытала ИИ-доктора MAI-DxO, который ставит диагнозы в 4 раза точнее врачей 12 ч.
The Blood of Dawnwalker, Code Vein 2 и многие другие: анонсирована игровая презентация Bandai Namco Summer Showcase 2025 14 ч.
Комиссионный хаос: Apple изменила правила App Store для ЕС так, что теперь их никто не понимает 14 ч.
«Это был ошибочный выбор»: авторы The Alters подтвердили, что в игру попал ИИ-контент, и объяснили, как так получилось 14 ч.
AMD выпустила драйвер с поддержкой FSR 4 для Monster Hunter Wilds и GTA V Enhanced 15 ч.
Календарь релизов — 1–6 июля: Mecha Break, Dying Light Retouched и девятый сезон Diablo IV 15 ч.
Россияне стали чаще покупать ноутбуки без операционной системы — так дешевле 2 мин.
Blue Origin в 13-й раз свозила туристов на границу космоса — и 1000 открыток в придачу 11 мин.
Amazon запустила инстансы EC2 C8gn с чипами Graviton4 для требовательных сетевых нагрузок 28 мин.
Вышел модуль Raspberry Pi Radio Module 2 с поддержкой Wi-Fi 4 за $4 33 мин.
ИИ-модель DeepSeek R1 заработала на суверенных китайских ускорителях Sophgo 54 мин.
Оригинальная Nintendo Switch подорожает спустя восемь лет после запуска — пока только в Канаде 3 ч.
Крупнейший в истории AWS ИИ-суперкомпьютер Project Rainier охватит несколько ЦОД, но будет экологичным 4 ч.
В России открылись предзаказы на смартфоны Honor 400 и 400 Pro с 200-Мп камерами — от 40 990 рублей 4 ч.
OpenAI пока не готова активно использовать ускорители Google в своей инфраструктуре 6 ч.
Apple не смогла отвертеться от иска Минюста США о монополии на рынке смартфонов 8 ч.