Apple opravil dvě chyby ovlivňující jeho prohlížeč Safari, o kterých se říká, že jsou aktivně využívány.

Podle svého bezpečnostního bulletinu vydala společnost Apple dvě opravy zabezpečení pro svůj webový prohlížeč Safari, které opravily zero-day chyby zabezpečení, které „mohly být aktivně využívány“. Tyto chyby ovlivňují šestou generaci Apple iPhonů, iPadů a hardwaru modelu iPod touch, které byly vydány v letech 2013 až 2018.

„Apple si je vědom zprávy, že tento problém mohl být aktivně využíván,“ napsala společnost. Společnost Apple uvedla, že technické podrobnosti těchto dvou chyb nebudou zveřejněny, „dokud nedojde k vyšetřování a nebudou k dispozici opravy nebo vydání“.

Obě chyby jsou spojeny s prohlížečem Safari společnosti Apple a základním kódem iOS s názvem WebKit, který je zodpovědný za vykreslování webových stránek. Apple připisuje objev obou chyb (CVE-2021-30761 a CVE-2021-30762) anonymnímu výzkumníkovi.

Oprava, iOS 12.5.4, je k dispozici ke stažení.

CVE-2021-30761
Jedna z chyb opravených společností Apple řeší „problém s poškozením paměti“ a vylepšuje správu stavu Apple WebKit.

„Správa stavu označuje správu stavu jednoho nebo více ovládacích prvků uživatelského rozhraní, jako jsou textová pole, tlačítka OK, přepínače atd. v grafickém uživatelském rozhraní,“ podle technického popisu výrazu.

Podle společnosti Apple oprava chyby, zaznamenaná jako CVE-2012-30761, řeší chybu nalezenou v zařízeních iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 a iPod touch (6. generace) ). Tato řada hardwaru byla vydána v letech 2013 až 2018.

CVE-2021-30762
Druhá chyba byla identifikována jako use-after-free chyba, což je typ chyby zabezpečení týkající se poškození paměti. Chyba sledovaná jako CVE-20121-30762 umožňuje útočníkovi spustit kód na cílených zařízeních. Podle Apple mohou protivníci tuto chybu využívat na neopravených zařízeních.

Ve svém zpravodaji Apple napsal: „Dopad: Zpracovaný nebezpečně vytvořený webový obsah může vést ke spuštění libovolného kódu. Apple si je vědom zprávy, že tento problém mohl být aktivně využíván.“

Společnost Apple dodala, že „problém use-after-free“ byl vyřešen vylepšenou správou paměti.

„Use-after-free zranitelnost souvisí s nesprávným použitím dynamické paměti během provozu programu. Pokud po uvolnění místa v paměti program nevymaže ukazatel na tuto paměť, může útočník tuto chybu použít k hacknutí programu,“ popisuje Kaspersky tento typ chyby.

Oprava pro iOS, distribuovaná jako aktualizace iOS 12.5.4, je pro stejný model hardwaru jako výše: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 a iPod touch (6. generace).

Apple nezveřejnil žádné další podrobnosti týkající se těchto zranitelných míst.

Zdroj: threatpost.com