В Apple заявили об устранении трех уязвимостей нулевого дня в iOS

Apple объявила 26 января о выпуске нового обновления безопасности для iOS, исправляющего три уязвимости нулевого дня, которые уже эксплуатировались киберпреступниками. Обо всех трех ошибках в корпорацию сообщил анонимный специалист по кибербезопасности. Обновление доступно для iOS 14.4.

Первая уязвимость нулевого дня (CVE-2021-1782) затрагивает ядро операционной системы iOS, две другие были выявлены в движке браузера WebKit (CVE-2021-1870 и CVE-2021-1871).

Ошибка ядра iOS описывается как уязвимость состояния гонки, позволяющая потенциально киберпреступникам повышать привилегии для своего кода атаки. Две уязвимости нулевого дня WebKit описываются в качестве «логических проблем», позволяющих удаленным киберпреступникам выполнять вредоносный код в браузерах Safari пользователей iOS.

Специалисты по информации безопасности убеждены, что все три выявленные и исправленные уязвимости нулевого дня являются составляющими элементами цепочки эксплойтов, когда пользователей iOS заманивают на вредоносный веб-ресурс, который использует ошибку WebKit для запуска вредоносного кода. Этот код в дальнейшем увеличивает свои привилегии в системе для последующего запуска кода системного уровня и окончательной компрометации операционной системы пользователя.

При этом Apple не стала разглашать официальные подробности кибератак, в ходе которых эксплуатировались эти уязвимости, что является вполне объяснимым действием, когда речь идёт именно об ошибках нулевого дня.

Интересно отметить, что исправленные 26 января уязвимости нулевого дня в iOS появились после того, как корпорация Apple заявила об устранении других трех уязвимостей нулевого дня в iOS в ноябре 2020 года. Тогда проблемы в безопасности iOS были выявлены одним из подразделений корпорации Google.