В Apple Safari исправлено исправление потенциально опасных уязвимостей нулевого дня

В Apple Safari исправлено исправление потенциально опасных уязвимостей нулевого дня

20 августа 2022 г.

Компания Apple быстро исправила в своем браузере Safari серьезную уязвимость, затрагивающую ряд ее операционных систем. .

Safari 15.6.1 для macOS Big Sur и Catalina уже доступна для загрузки, и всем, кто использует эти версии, рекомендуется немедленно обновиться.

Исправление для исправлений CVE-2022-32893 недостаток записи за пределы в WebKit, движке Safari, который также используется другими приложениями с веб-интерфейсом. доступ.

Недостаток записи за пределы

Apple подтвердила, что эта уязвимость предположительно уже используется в реальных условиях, и в случае злоупотребления уязвимость позволяет злоумышленникам удаленно выполнять код на уязвимом устройстве.

"Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться», — говорится в рекомендации по безопасности.

Уязвимость записи за пределы буфера возникает, когда субъект угрозы заставляет программу ввода записывать данные до начала или после конца буфера памяти. Это приводит к сбою программы, повреждению данных и позволяет злоумышленникам удаленно выполнять код. Исправление для Биг-Сура и Каталии в том же духе, что и для Монтерея — за счет улучшенной проверки границ.

Учитывая, что уязвимость широко используется, Apple хранит молчание о проблеме до тех пор, пока большинство конечные точки исправлены.

Компания заявила, что ей сообщил об ошибках анонимный пользователь, добавив, что теперь она улучшила свои границы, проверив обе ошибки.

У Apple было много работы фиксация нулевых дней в этом году. В январе 2022 года были исправлены две такие уязвимости, а именно CVE-2022-22578 и CVE-2022-22594, которые позволяли выполнять произвольный код с привилегиями ядра.

Месяц спустя был устранен еще один нулевой день, затронувший iPhone, iPad и Mac и позволивший злоумышленникам вызывать сбой ОС и запускать удаленное выполнение кода, а в марте Apple исправила CVE-2022- 22674 и CVE-2022-22675, два нулевых дня, которые использовались для выполнения кода с привилегиями ядра.

Через: BleepingComputer


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE