Издание ArsTechnica рассказало о критической уязвимости, найденной в Safari на iOS, iPadOS и macOS. Проблема затрагивает браузер во всех версиях операционных систем Apple, включая самые новые.

Уязвимость была найдена в движке WebKit, используемый в Safari. При определённом стечении обстоятельств злоумышленник может использовать эксплойт для запуска произвольного кода, чтобы получить доступ к конфиденциальным пользовательским данным. Атака осуществляется через элемент в WebKit, используемый для управления звуком.

Использование этой атаки в реальных условиях затруднено тем, что хакеру нужно каким-то образом обойти систему защиту, а для этого требуется подобрать код криптографической подписи. Иначе он не сможет запустить в браузере вредоносный код.

Apple периодически закрывает баги и уязвимости в своих продуктах, но по какой-то причине пропустила эту проблему, хотя ИБ-специалисты заблаговременно рассказали компании о ней. Можно ожидать, что в ближайшие дни Apple всё же выпустит обновлённые версии iOS, iPadOS и macOS, в которых уязвимость Safari будет закрыта.

Компания Theori недавно оповестила об этой проблеме компанию Apple, и та даже выпустила несколько патчей безопасности, в том числе закрывающих бага в Safari. Специалисты Theori были удивлены тем, что даже после установки обновлений уязвимость по-прежнему оказалась на месте. По данным исследовательской команды Google Project Zero, с начала года хакеры активно эксплуатировали не менее восьми уязвимостей в продуктах Apple. Шесть уязвимостей так или иначе связаны с движком WebKit.