Apple предотвращает утечку данных: выпущены исправления проблем WebKit в Safari

Apple выпустила обновления ПО для iOS, iPadOS, macOS и веб-браузера Safari, чтобы устранить две уязвимости, которые, по словам компании, активно используются в старых версиях ПО. Уязвимости, обе находятся в движке веб-браузера WebKit, описаны ниже:

• CVE-2023-42916 — проблема чтения за пределами границ (out-of-bounds read), которая может быть использована для утечки конфиденциальной информации при обработке веб-контента;
• CVE-2023-42917 — ошибка повреждения памяти (memory corruption), которая приводит к выполнению произвольного кода при обработке веб-контента.

Apple заявила, что ей известны сообщения об использовании недостатков в версиях до iOS 16.7.1, выпущенной 10 октября 2023 года. Обнаружение и сообщение о недостатках приписывают специалисту Клеману Лесиню из группы анализа угроз Google (TAG). Apple не предоставила дополнительной информации о продолжающейся эксплуатации.

Стоит отметить, что каждый сторонний веб-браузер, доступный для iOS и iPadOS, включая Google Chrome, Mozilla Firefox, Microsoft Edge и другие, работает на движке WebKit из-за ограничений Apple на использование сторонних движков, что делает WebKit прибыльной и широкой поверхностью атаки.

В операционных системах iOS и iPadOS Apple требует, чтобы все браузеры использовали WebKit в качестве своего движка для рендеринга. Это означает, что, несмотря на различия в интерфейсе и функциональности, все браузеры в ОС от Apple, по сути, используют тот же движок, что и Safari. Например, Google адаптировал свой собственный движок Chrome Blink для работы в рамках ограничений WebKit на устройствах Apple.

Обновления доступны для следующих устройств и операционных систем:

• iOS 17.1.2 и iPadOS 17.1.2 — iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-го поколения и новее;
• macOS Sonoma 14.1.2 — компьютеры Mac под управлением macOS Sonoma;
• Safari 17.1.2 — компьютеры Mac под управлением macOS Monterey и macOS Ventura.

Помимо ограничения на использование сторонних движков браузера Apple также запрещает установку приложений из неофициальных источников, чтобы обезопасить пользователей от заражения iPhone вредоносным ПО.

Руководитель отдела безопасности и архитектуры Apple Иван Крстич поделился своими мыслями о безопасности iPhone и позиции компании касательно установки приложений из сторонних источников и использования магазинов приложений третьих сторон. На фоне предстоящих регулятивных изменений Евросоюза Крстич подчеркнул потенциальные риски, связанные с разрешением пользователям iPhone устанавливать приложения из источников, отличных от магазина приложений Apple.