Apple Safari załatane, aby naprawić potencjalnie niebezpieczne błędy dnia zerowego

Apple Safari załatane, aby naprawić potencjalnie niebezpieczne błędy dnia zerowego

Firma Apple szybko załatała swoją przeglądarkę Safari przed poważną luką w zabezpieczeniach, która dotyczy kilku jej systemów operacyjnych.

Safari 15.6.1 dla macOS Big Sur i Catalina jest już dostępne do pobrania, a każdy, kto korzysta z tych wersji, jest zachęcany do natychmiastowej aktualizacji.

Poprawka dla CVE-2022-32893 naprawia błąd zapisu poza granicami w WebKit, silniku Safari, który jest również używany przez inne aplikacje internetowe.

Błąd zapisu poza granicami

Firma Apple potwierdziła, że ​​luka będzie już wykorzystywana na wolności, a po jej wykorzystaniu umożliwia cyberprzestępcom zdalne wykonanie kodu na podatnym urządzeniu.

„Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do wykonania dowolnego kodu. Firma Apple jest świadoma doniesień, że ten problem mógł być aktywnie wykorzystywany”, powiedział Apple w komunikacie dotyczącym bezpieczeństwa (otwiera się w nowej wersji pestaña).

Błąd zapisu poza zakresem występuje, gdy złośliwy aktor wymusza na programie wejściowym zapisanie danych przed rozpoczęciem lub po zakończeniu bufora. Powoduje to awarię programu, uszkodzenie danych i umożliwia hakerom zdalne wykonanie kodu. Rozwiązanie dla Big Sur i Catalia jest podobne do rozwiązania Monterey: z ulepszonym sprawdzaniem granic.

Ponieważ usterka jest wykorzystywana na wolności, Apple trzyma się tego problemu, dopóki większość urządzeń nie zostanie załatana.

Firma powiedziała, że ​​została poinformowana o błędach przez anonimowego użytkownika, dodając, że teraz poprawiła swoje limity, sprawdzając dwa błędy.

Apple miał w tym roku problem z naprawą zerowych dni. W styczniu 2022 naprawił dwie takie wady, a mianowicie CVE-2022-22578 i CVE-2022-22594, które umożliwiały wykonanie dowolnego kodu z uprawnieniami jądra.

Miesiąc później załatał kolejny dzień zerowy, który dotknął iPhone'y, iPady i komputery Mac, i umożliwił hakerom awarię systemu operacyjnego i zdalne wykonanie kodu, a w marcu Apple załatał CVE-2022-22674 i CVE-2022-22675, dwa dni zero. nadużywane do wykonywania kodu z uprawnieniami jądra.

Przez: BleepingComputer (Otwiera się w nowej karcie)