1 квітня розробники Apple оперативно випустили патчі, щоб усунути дві критичн 0day-уразливост, які могли використовувати для дистанційної компрометації пристроїв, що працюють під керуванням iOS, iPadOS та macOS. З усім тим через пару днів виявилося, що закриті дірки тільки в останніх версіях ОС компанії, а понад 40% пристроїв, що використовуються, залишаються вразливими до вже використовуваних експлойтів.
Раніше виявили дві критичні вразливості:
Розробники пояснили, що в першому випадку баг усунули шляхом запровадження покращеної перевірки кордонів. У другому випадку проблему виправили з допомогою покращеної валідації введення. Також компанія має докази активної експлуатації обох вразливостей зловмисниками, але всі подробиці вона навмисно приховує, щоб уникнути активнішого використання цих «дірок».
Експерт з безпеки Джошуа Лонг з компанії Intego (провідної компанії з безпеки продуктів Apple) докладно пояснює, що помилка AppleAVD залишилася невиправленою в macOS Big Sur (Catalina не схильна до цієї проблеми). Друга вразливість, згідно з аналізом експерта, впливає як на Big Sur, так і на Catalina. Але проблема в тому, що обидві згадані MacOS залишилися без патчів.
Експерти дивуються ситуації, що виникла — підтримка macOS Catalina повинна припинитися приблизно в листопаді 2022 року, а macOS Big Sur — у листопаді 2023 року. Зазвичай Apple підтримує не тільки активний реліз macOS, але й публікує оновлення для двох попередніх релізів ОС. За словами експертів, це перший випадок, коли Apple проігнорувала оновлення ОС, що офіційно підтримуються, що досить незвичайно.
Джошуа Лонг пояснює:
«Це перший випадок як мінімум з моменту релізу macOS Monterey, коли Apple нехтує виправленням вразливостей, що активно експлуатуються, для Big Sur і Catalina. Наприклад, попередні три вразливості, що активно експлуатували, усунули одночасно для Monterey, Big Sur і Catalina».
Ситуацію, коли постачальник навмисно вирішує не випускати патчі, називають «вічною 0day-уразливістю». На цей час залишилися вразливими приблизно 40% користувачів macOS. Враховуючи, що застарілий парк техніки Apple характерний більше для країн другого світу, значна частина вразливих зараз систем зосереджена в країнах Азії та СНД.
32-річний розробник безпеки інформаційних систем Агентства національної безпеки Джарех Себастьян Далке отримав 22 роки в'язниці…
Українська компанія Flytech представила розвідувальний безпілотний літальний апарат ARES. Основні його переваги — недорога ціна…
MC.today разом з Асоціацією IT Ukraine і сервісом моніторингу та аналітики згадок у ЗМІ та…
Україна не буде примусово повертати чоловіків призовного віку з-за кордону. Про це повідомила у Брюсселі…
В Збройних Силах України з'явився жіночий підрозділ з БПЛА. І вже проводиться конкурсний відбір до…
GitHub анонсував Copilot Workspace, середовище розробки з використанням «агентів на базі Copilot». За задумкою, вони…