CISA предписывает федеральным агентствам обновить iPhone до 25 февраля

Apple iPhone 14 Pro может получить крупное обновление камеры и оперативной памяти: вот что вам нужно знать

Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило новый недостаток в свой каталог уязвимостей, эксплуатируемых в дикой природе, — ошибку удаленного выполнения кода Apple WebKit, используемую для атак на iPhone, iPad и компьютеры Mac.

Согласно обязательной оперативной директиве (BOD 22-01), выпущенной CISA в ноябре, федеральные агентства теперь обязаны установить заплатки на свои системы против этой активно эксплуатируемой уязвимости, воздействующей на устройства iOS, iPadOS и macOS.

CISA заявила, что все федеральные гражданские агентства исполнительной власти (FCEB) должны исправить уязвимость, отслеживаемую как CVE-2022-22620 [1, 2], до 25 февраля 2022 года.

«Подобные уязвимости являются частым вектором атак для злоумышленников всех типов и представляют значительный риск для федерального предприятия», — заявили в агентстве по кибербезопасности.

«Хотя BOD 22-01 относится только к агентствам FCEB, CISA настоятельно призывает все организации снизить свою подверженность кибератакам, уделяя первоочередное внимание своевременному устранению уязвимостей каталога в рамках своей практики управления уязвимостями».

Вчера CISA также потребовала от агентств FCEB устранить 15 других уязвимостей, отмеченных как активно эксплуатируемые, причем срок исправления CVE-2021-36934 — ошибки в Microsoft Windows SAM (Security Accounts Manager), позволяющей повысить привилегии и украсть учетные данные — истекает 24 февраля.

Третий «нулевой день», исправленный Apple в этом году

CVE-2022-22620 — это третий «нулевой день», который Apple исправила с начала 2022 года, и представляет собой проблему WebKit Use After Free, эксплуатируемую для сбоев ОС и выполнения кода на уязвимых устройствах.

Успешная эксплуатация позволяет злоумышленникам выполнить произвольный код на iPhone, iPad и Mac после открытия злонамеренно созданных веб-страниц с помощью Safari.

«В частности, все браузеры для iOS и iPadOS основаны на этом движке с открытым исходным кодом — то есть не только Safari по умолчанию в iPhone, но и Google Chrome, Mozilla Firefox и любые другие», — заявил сегодня Касперский. «Так что даже если вы не используете Safari, эта уязвимость все равно касается вас напрямую».

«Apple известно о сообщении, что эта проблема могла активно эксплуатироваться», — добавила компания, описывая нулевой день.

Apple устранила уязвимость, улучшив управление памятью в iOS 15.3.1, iPadOS 15.3.1 и macOS Monterey 12.2.1.

Полный список затронутых уязвимостью устройств довольно обширен, в него входят iPhone 6s и более поздние версии, несколько моделей iPad, а также компьютеры Mac под управлением macOS Monterey.

Несмотря на то, что этот недостаток, скорее всего, был использован лишь в небольшом количестве целевых атак, все же настоятельно рекомендуется установить обновления как можно скорее, чтобы блокировать возможные попытки атак, как и призывал CISA ранее сегодня.

В январе Apple также исправила два других активно эксплуатируемых «нулевых дня», которые могут позволить злоумышленникам отслеживать активность в браузере и личные данные пользователей в режиме реального времени (CVE-2022-22594) и получить произвольное выполнение кода с привилегиями ядра (CVE-2022-22587).

 

Последнее обновление 11.02.2022