Apple выпустила срочное обновление для iOS и iPadOS, закрывающее уязвимость CVE-2022-22620. Компания рекомендует как можно скорее обновить устройства, поскольку у нее есть основания считать, что уязвимость уже активно эксплуатируется неизвестными злоумышленниками.
Чем опасна уязвимость CVE-2022-22620
Эксперты Apple не раскрывают деталей уязвимости, пока не будет завершено расследование, а большая часть пользователей не установит патчи. На данный момент известно, что уязвимость относится к классу Use-After-Free (UAF), то есть связана с некорректным использованием программами динамической памяти. Ее эксплуатация позволяет атакующему создать вредоносный веб-контент, обработка которого может привести к исполнению произвольного кода на мобильном устройстве жертвы.
Проще говоря, в наиболее вероятном сценарии атаки эта уязвимость, судя по всему, может быть использована для заражения iPhone или iPad после посещения вредоносной веб-страницы.
Какие устройства и приложения уязвимы
Судя по описанию проблемы, уязвимость найдена в движке WebKit, используемом в множестве приложений под macOS, iOS и Linux. В частности, на базе этого движка с открытым исходным кодом построены все браузеры для iOS и iPadOS — то есть не только Safari, установленный на айфонах по умолчанию, но также и Google Chrome, Mozilla Firefox и любые другие. Так что даже если вы не пользуетесь дефолтным Safari, эта уязвимость все равно напрямую вас касается.
В данный момент для загрузки доступны обновления для телефонов iPhone начиная с версии 6s и более новых; всех моделей планшетов iPad Pro, iPad Air версии 2 и более свежих; iPad начиная с пятого поколения, iPad mini, начиная с четвертого, а также медиапроигрывателя iPod touch начиная с 7 поколения.
Как оставаться в безопасности
Выпущенный 10 февраля патч изменяет механизмы управления памятью и таким образом предотвращает эксплуатацию CVE-2022-22620. Так что для того чтобы обезопасить свое устройство, достаточно установить обновления iOS 15.3.1 и iPadOS 15.3.1. Для установки патча устройству потребуется подключение к сети Wi-Fi.
Если на вашем устройстве не показывается уведомление о том, что патч готов к установке, имеет смысл самостоятельно зайти в настройки системы (Настройки → Основные → Обновление ПО) и проверить доступность обновлений программного обеспечения.
Для того чтобы оперативно узнавать о свежих киберугрозах, напрямую касающихся используемых вами устройств и приложений, мы рекомендуем использовать приложение Kaspersky Security Cloud, доступное для операционных систем Windows, macOS, Android и iOS. При обнаружении уязвимости в софте, который вы используете или утечки на сайте, который вы посещаете, вам придет уведомление с рекомендациями о том, как защититься.