| 3 мая 2021 г. — 10:55 PT
Apple выпустила обновления для iPhone, iPad, Mac и Apple Watch сегодня с несколькими обновлениями безопасности. Устраненные уязвимости связаны со злонамеренным веб-контентом, который мог привести к выполнению произвольного кода — и Apple заявляет, что они могли активно использоваться.
Apple выпустила iOS 14.5.1 и iOS 12.5.3, macOS 11.3.1 и watchOS 7.4.1 сегодня, причем основные изменения — это исправления безопасности (также исправление ошибки отслеживания приложений в iOS). Поэтому обязательно установите новейшие обновления, чтобы получить последнюю защиту.
В документах поддержки Apple подробно описала исправленные веб-уязвимости. Первая уязвимость означала, что «Обработка злонамеренно созданного веб-контента может привести к выполнению произвольного кода». Здесь была проблема с повреждением памяти, и Apple говорит, что исправила проблему «улучшенным управлением состоянием».
Вторая уязвимость также касалась того же потенциала злонамеренного веб-контента, который мог выполнять произвольный код, и Apple заявляет, что она также могла использоваться в реальных условиях. В этом случае Apple решила проблему с переполнением целых чисел и «улучшенной проверкой входных данных».
WebKit
Доступно для: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее, а также iPod touch (7-го поколения)
Воздействие: Обработка злонамеренно созданного веб-контента может привести к выполнению произвольного кода. Apple осведомлена об отчете, что эта проблема могла активно использоваться.
Описание: Проблема повреждения памяти была устранена путем улучшения управления состоянием.
CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang из 360 ATA
WebKit
Доступно для: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее, а также iPod touch (7-го поколения)
Воздействие: Обработка злонамеренно созданного веб-контента может привести к выполнению произвольного кода. Apple осведомлена об отчете, что эта проблема могла активно использоваться.
Описание: Переполнение целых чисел было устранено путем улучшения проверки входных данных.
CVE-2021-30663: анонимный исследователь
Тем временем, для более старых iPhone и iPad были исправлены две дополнительные проблемы безопасности с iOS 12.5.3. Apple исправила переполнение буфера/улучшила обработку памяти, а также обновила «проблему использования после освобождения».
WebKit
Доступно для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения)
Воздействие: Обработка злонамеренно созданного веб-контента может привести к выполнению произвольного кода. Apple осведомлена об отчете, что эта проблема могла активно использоваться.
Описание: Проблема переполнения буфера была устранена путем улучшения обработки памяти.
CVE-2021-30666: yangkang (@dnpushme)&zerokeeper&bianliang из 360 ATA
WebKit Storage
Доступно для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения)
Воздействие: Обработка злонамеренно созданного веб-контента может привести к выполнению произвольного кода. Apple осведомлена об отчете, что эта проблема могла активно использоваться.
Описание: Проблема использования после освобождения была устранена путем улучшения управления памятью.
CVE-2021-30661: yangkang (@dnpushme)&zerokeeper&bianliang из 360 ATA