Safari dziurawe jak szwajcarski ser. Apple śpieszy z łatkami
15.06.2021 19:24
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Safari doczekało się pozakolejkowych poprawek do silnika WebKit. Apple podało, że naprawiło dwie poważne luki 0-day, które miały być aktywnie wykorzystywane. Obie zostały zgłoszone firmie anonimowo.
Informacje pochodzące z The Hacker News wskazują, że próby wykorzystania tych luk skierowane były przeciwko posiadaczom starszych urządzeń, takich jak iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 oraz iPod touch (6. generacji).
Luka CVE-2021-30761
W pierwszym przypadku luka dotyczyła problemów z uszkodzeniem pamięci. Za jej pomocą możliwe było zmuszenie Safari do wykonania dowolnego kodu podczas przetwarzania złośliwie spreparowanej zawartości sieci Web. Apple naprawiło ten błąd poprzez ulepszenie zarządzania pamięcią.
Luka CVE-2021-30762
Kolejny problem był stosunkowo podobny do pierwszego. Tym razem wykorzystywał jednak podatność związaną z nieprawidłowym wykorzystaniem pamięci podczas działania przeglądarki. On także pozwalał na uruchomienie dowolnego kodu, a ulepszenie zarządzania pamięcią poradził sobie z jego istnieniem.
Apple nie ujawnia szczegółów
Firma nie opublikowała jeszcze żadnych dodatkowych szczegółów dotyczących tych luk. Nie jest to jednak zaskakujące, bowiem już wcześniej firma nie miała w zwyczaju ujawniać szczegółów na temat charakteru ataków czy ofiar, które mogły być celem ataków.
Poza wcześniej wspomnianymi lukami, firma poinformowała także o rozwiązaniu problemu CVE-2021-30737. Zgodnie z opisem, Safari, poprzez przetworzenie złośliwie spreparowanego certyfikatu, mogło wykonać dowolny kod. Niezbędne było naprawienie problemu związanego z uszkodzeniem pamięci w dekoderze ASN.1.