Apple исправила три уязвимости нулевого дня в iOS, iPadOS и tvOS
Хакеры могут эксплуатировать эти уязвимости в связке для осуществления атак watering hole.
Компания Apple выпустила исправления для трех уязвимостей в iOS, iPadOS и tvOS, которые могли уже использоваться хакерами в реальных атаках. Характер атак, их масштабы и кто является организатором, Apple не уточняет.
Все три уязвимости (CVE-2021-1782, CVE-2021-1870 и CVE-2021-1871) были обнаружены анонимным исследователем безопасности и исправлены в iOS 14.4 и iPadOS 14.4 для iPhone 6s и более новых моделей, iPad Air 2 и более новых моделей, iPad mini 4 и более новых моделей и iPod touch 7-го поколения. Также были выпущены патчи для Apple TV 4K и Apple TV HD.
CVE-2021-1782: уязвимость неопределенности параллелизма (race condition), затрагивающая ядро ОС. С ее помощью приложение может повысить свои привилегии на системе.
CVE-2021-1870 и CVE-2021-1871: логические ошибки в браузерном движке WebKit. Их успешная эксплуатация позволяет удаленно выполнить код.
Не исключено, что злоумышленники эксплуатируют эти уязвимости в связке для осуществления атак watering hole. Подобные атаки заключаются в заражении устройства жертвы вредоносным ПО через скомпрометированные сайты. С помощью вышеупомянутых уязвимостей вредонос может повышать свои привилегии и выполнять произвольные команды для получения контроля над устройством.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!