Компанія підтвердила в понеділок, що її пристрої підпадають під вплив дефекту, що дозволяє віддалене виконання зловмисного коду через веб-орієнтований JavaScript. Ця вразливість відкриває вектор атаки, який може призвести до крадіжки крипто-связаних даних у нічого не підозрюючих користувачів.
Згідно з останнім розкриттям безпеки Apple, користувачі повинні оновити своє програмне забезпечення JavaScriptCore та WebKit до останніх версій, щоб усунути цю проблему. Виявлена дослідниками з групи аналізу загроз Google, вразливість дозволяє "обробку зловмисно створеного веб-контенту", що призводить до "атак міжсайтового скриптування". Тривожно, що Apple також визнала, що ця проблема "може бути активно використана на системах Mac на базі Intel."
Apple випустила подібне розкриття безпеки для користувачів iPhone та iPad, заявивши, що дефект JavaScriptCore дозволяє "обробку зловмисно створеного веб-контенту, що може призвести до виконання довільного коду." Іншими словами, хакери можуть потенційно взяти під контроль iPhone або iPad користувачів, якщо вони відвідують зловмисні сайти. Apple запевнила користувачів, що оновлення повинні вирішити цю проблему.
Джеремая О’Коннор, технічний директор та співзасновник крипто-кібербезпекової фірми Trugard, попередив, що "зловмисники можуть отримати доступ до чутливих даних, таких як приватні ключі або паролі, збережені в браузерах", потенційно викрадаючи криптоактиви, якщо пристрої користувачів залишаться без виправлень.
Раніше в березні з'явилися повідомлення про те, що дослідники безпеки виявили вразливості в попередніх поколіннях чіпів Apple (серії M1, M2 та M3). Ці дефекти можуть дозволити хакерам витягувати криптографічні ключі.
Вразливість експлуатує техніку, звану "попереднім завантаженням", функцію в чіпах серії M від Apple, призначену для прискорення взаємодії з пристроями компанії. Попереднє завантаження може зберігати чутливі дані в кеші процесора, що дозволяє зловмисникам отримувати цю інформацію для відновлення криптографічних ключів, які повинні залишатися недоступними.
На жаль, згідно з Ars Technica, це представляє собою значну проблему для користувачів Apple, оскільки вразливості на рівні чіпів не можуть бути виправлені через оновлення програмного забезпечення.