25.10.2021

Apple исправила уязвимость в iOS и macOS, которая могла пригодиться для джейлбрейка

Apple выпустила обновления iOS 14.7.1 и iPadOS 14.7.1, а также macOS 11.5.1. Они содержат важное изменение: устраняют уязвимость, позволяющую исполнять произвольный код с привилегиями ядра системы.

Apple исправила уязвимость в iOS и macOS

В чём суть?

Уязвимость под номером CVE-2021-30807 затрагивает IOMobileFramebuffer —

расширение ядра для управления кадровым буфером экрана. Хотя Apple не поделилась подробностями об угрозе, один из специалистов по безопасности выпустил свой отчёт с техническими деталями. Как говорят эксперты, уязвимость можно связать с эксплойтом движка Webkit, чтобы запустить на устройствах утилиту по получению джейлбрейка (прав суперпользователя для расширения функциональности iOS).

Вредоносное приложение, эксплуатирующее проблему, умеет выполнять произвольный код с привилегиями ядра, то есть получает полный контроль над устройством. В Купертино стало известно, что уязвимость использовалась хакерами на реальных гаджетах. Поэтому выпущенный апдейт действительно важен: он устраняет не теоретическую, а вполне реальную угрозу.

Apple исправила уязвимость в iOS и macOS

Какие устройства подвержены риску?

На мобильных системах уязвимость может эксплуатироваться на следующих моделях:

  • iPhone 6S и новее;
  • все модели iPad Pro;
  • iPad Air 2 и новее;
  • iPad 5-го поколения и новее;
  • iPad mini 4 и новее;
  • iPod touch 7-го поколения.

Что касается компьютеров, Apple не уточнила список техники. Так что под ударом рискуют оказаться все актуальные версии Mac и MacBook.

Уязвимостей всё больше

CVE-2021-30807 стала очередной уязвимостью нулевого дня. Так называют критические угрозы безопасности, для которых на момент их публикации нет инструментов защиты.

За 2021 год Apple исправляет уже тринадцатую подобную проблему. В июле стало известно, что одна из таких угроз, CVE-2021-1879, позволяла хакерам собирать файлы аутентификации с нескольких популярных веб-сайтов, включая Google, Microsoft, LinkedIn, Facebook и Yahoo.

Apple исправила уязвимость в iOS и macOS

По данным Google, объём обнаруженных эксплойтов нулевого дня заметно вырос в 2021-м. Если за прошлый год обнаружили всего 22 уязвимости, то по состоянию на июль их уже 33.

Подобные проблемы безопасности — реальная возможность получить полный контроль над устройством, выгрузить конфиденциальные данные, превратить смартфон или компьютер в часть бот-сети.

Так что скорее обновляйте гаджеты!

Поделиться ссылкой: