Новые обновления OS X и Safari устранили уязвимость, позволявшую удаленное проникновение

На прошлой неделе Apple выпустила экстренное исправление безопасности для iOS, которое устранило уязвимость, позволявшую злоумышленникам удаленно получать контроль над устройством пользователя при простом переходе по ссылке. Теперь Apple выпустила такое же исправление безопасности для пользователей OS X 10.11.6 El Capitan и 10.10.5 Yosemite.

Уязвимость получила название «Pegasus» и использует так называемые «уязвимости нулевого дня» для удаленного джейлбрейка и установки шпионского ПО на устройство пользователя, разумеется, без его ведома. Часть эксплойта использует недостаток в области управления памятью WebKit в Safari, который позволяет хакерам инициировать процесс захвата операционной системы.

Одним из наиболее неприятных аспектов этой уязвимости является то, что она позволяет злоумышленнику перехватывать информацию из различных сторонних приложений и служб, включая Gmail, Facebook, Skype, WeChat и другие. Это, конечно, помимо собственных сервисов Apple, таких как iMessage и FaceTime.

На прошлой неделе iOS 9.3.5 устранила тот же эксплойт. В то время The New York Times описала эксплойт как попытку «шпионить за диссидентами и журналистами». Поскольку мобильная и настольная версии Safari используют схожий код, эксплойт был, по сути, кроссплатформенным.

Apple пишет следующее об обновлении WebKit Safari 9.1.3 на своем сайте поддержки: