Компания подтвердила в понедельник, что ее устройства затронуты ошибкой, позволяющей удаленное выполнение вредоносного кода через веб-основной JavaScript. Эта уязвимость открывает вектор атаки, который может привести к краже криптоинформации у ничего не подозревающих пользователей.
Согласно последнему раскрытию информации о безопасности компании Apple, пользователи должны обновить свое программное обеспечение JavaScriptCore и WebKit до последних версий, чтобы устранить проблему. Обнаруженная исследователями из Группы анализа угроз Google, уязвимость позволяет "обрабатывать злонамеренно созданный веб-контент", что приводит к "атакам межсайтового скриптинга". Примечательно, что Apple также признала, что проблема "могла активно эксплуатироваться на системах Mac на базе Intel".
Apple выпустила аналогичное раскрытие информации о безопасности для пользователей iPhone и iPad, заявив, что ошибка JavaScriptCore позволяет "обрабатывать злонамеренно созданный веб-контент, что может привести к выполнению произвольного кода". Другими словами, хакеры потенциально могут взять под контроль iPhone или iPad пользователей, если они посетят вредоносные сайты. Apple уверила пользователей, что обновления должны решить эту проблему.
Джеремия О’Коннор, технический директор и соучредитель компании по кибербезопасности Trugard, предупредил, что "взломщики могут получить доступ к конфиденциальным данным, таким как приватные ключи или пароли, хранящиеся в браузерах", потенциально украдя криптоактивы, если устройства пользователей останутся без патчей.
Ранее в марте появились сообщения о том, что исследователи безопасности обнаружили уязвимости в чипах предыдущего поколения Apple (серии M1, M2 и M3). Эти ошибки могут позволить хакерам извлекать криптографические ключи.
Уязвимость использует технику под названием "предварительная выборка", функцию в чипах серии M компании Apple, предназначенную для ускорения взаимодействия с устройствами компании. Предварительная выборка может хранить конфиденциальные данные в кэше процессора, позволяя злоумышленникам извлекать эту информацию для восстановления криптографических ключей, которые должны оставаться недоступными.
К сожалению, согласно Ars Technica, это представляет собой серьезную проблему для пользователей Apple, так как уязвимости на уровне чипов не могут быть устранены с помощью обновлений программного обеспечения.
