Apple Safari załatane, aby naprawić potencjalnie niebezpieczne błędy dnia zerowego

Apple Safari załatane, aby naprawić potencjalnie niebezpieczne błędy dnia zerowego

Firma Apple szybko załatała swoją przeglądarkę Safari przed poważną luką w zabezpieczeniach, która dotyczy kilku jej systemów operacyjnych.

Safari 15.6.1 dla macOS Big Sur i Catalina jest już dostępne do pobrania, a każdy, kto korzysta z tych wersji, jest zachęcany do natychmiastowej aktualizacji.

Poprawka dla CVE-2022-32893 naprawia błąd zapisu poza granicami w WebKit, silniku Safari, który jest również używany przez inne aplikacje internetowe.

Błąd zapisu poza granicami

Firma Apple potwierdziła, że ​​luka będzie już wykorzystywana na wolności, a po jej wykorzystaniu umożliwia cyberprzestępcom zdalne wykonanie kodu na podatnym urządzeniu.

„Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do wykonania dowolnego kodu. Firma Apple jest świadoma doniesień, że ten problem mógł być aktywnie wykorzystywany”, powiedział Apple w komunikacie dotyczącym bezpieczeństwa (otwiera się w nowej wersji pestaña).

Błąd zapisu poza zakresem ma miejsce, gdy złośliwy aktor zmusza program wejściowy do zapisania danych przed rozpoczęciem lub po zakończeniu bufora. Spowoduje to awarię programu, uszkodzenie danych i umożliwi hakerom zdalne wykonanie kodu. Rozwiązanie dla Big Sur i Catalii jest podobne do rozwiązania z Monterey: z ulepszoną kontrolą granic.

Ponieważ usterka jest wykorzystywana na wolności, Apple trzyma się tego problemu, dopóki większość urządzeń nie zostanie załatana.

Firma powiedziała, że ​​została poinformowana o błędach przez anonimowego użytkownika, dodając, że teraz poprawiła swoje limity, sprawdzając dwa błędy.

Apple miało w tym roku problemy z ustaleniem zerowych dni. W styczniu 2022 r. naprawiono dwie takie luki, a mianowicie CVE-2022-22578 i CVE-2022-22594, które umożliwiały wykonanie dowolnego kodu z uprawnieniami jądra.

Miesiąc później załatał kolejny dzień zerowy, który dotknął iPhone'y, iPady i komputery Mac, i umożliwił hakerom awarię systemu operacyjnego i zdalne wykonanie kodu, a w marcu Apple załatał CVE-2022-22674 i CVE-2022-22675, dwa dni zero. nadużywane do wykonywania kodu z uprawnieniami jądra.

Przez: BleepingComputer (Otwiera się w nowej karcie)