Владельцы iPhone с актуальной версией iOS 15 оказались подвержены уязвимости CVE-2021-30883, благодаря которой злоумышленники могли получить полный доступ к гаджету. Из-за этого Apple выпустила внеочередной патч исправлений с предупреждением, что всем пользователям «следует обновиться до iOS 15.0.2 прямо сейчас».
Согласно информации на странице поддержки Apple, iOS 15.0.2 устраняет проблему с функцией IOMobileFrameBuffer, которая позволяла приложениям выполнять произвольный код с привилегиями ядра, благодаря чему хакер может получить полный контроль над гаджетом. Apple заявила, что «эта проблема активно эксплуатируется злоумышленниками».
Неизвестно, насколько широко распространен эксплойт и на кого он нацелен.
Уязвимости нулевого дня, исправленной в iOS 15.0.2, подвержены владельцы iPhone 6S и более поздних моделей, все модели iPad Pro, iPad Air 2 и новее, iPad 5-го поколения и более поздние версии, iPad mini 4, 5, 6 и iPod touch 7.
Помимо избавления от уязвимости в системе безопасности iOS 15.0.2 также устраняет проблему, из-за которой кожаный кошелек с MagSafe для iPhone не мог подключиться к «Локатору», а также ошибку, из-за которой трекеры AirTag не отображались в списке устройств. Еще одна проблема, исправленная в iOS 15.0.2, могла привести к тому, что CarPlay не открывал аудиоприложения и отключался во время воспроизведения. Также известно, что апдейт «чинит» ошибку в iMessage, из-за которой удалялись сохраненные в памяти смартфона изображения.
Apple настоятельно рекомендует пользователям iPhone и iPad обновить свои гаджеты до версии iOS 15.0.2 и iPadOS 15.0.2.
«Напомнить позже»
Между тем, настоятельной рекомендации часто бывает недостаточно.
Согласно опросу «Лаборатории Касперского», больше половины россиян (55%), увидев уведомление о необходимости перезагрузить устройство, чтобы обновить его, нажимают «Напомнить позже».
Руководитель российского исследовательского центра «Лаборатории Касперского» Мария Наместникова отмечает, что своевременная установка обновлений важна не только для того, чтобы получить доступ к новым функциям или интерфейсу, но также чтобы обеспечить должный уровень цифровой безопасности.
«Разработчики и исследователи в области безопасности регулярно анализируют и изучают популярные цифровые продукты, чтобы найти и закрыть уязвимости, которые могут быть использованы злоумышленниками. Не секрет, что определенные ошибки в коде делают возможной реализацию многих видов атак. Один из самых популярных у злоумышленников методов установки и исполнения вредоносного кода на устройстве пользователя как раз и заключается в применении неисправленных уязвимостей», — рассказала Наместникова.
Эксперт отметила, что эпидемия WannaCry стала возможной из-за того, что многие пользователи более трех месяцев не устанавливали готовый патч для операционной системы Windows. Злоумышленники, принимая во внимание такое поведение, воспользовались известной и уже исправленной уязвимостью и вызвали эпидемию мирового масштаба.