Safari dziurawe jak szwajcarski ser. Apple śpieszy z łatkami
Safari doczekało się pozakolejkowych poprawek do silnika WebKit. Apple podało, że naprawiło dwie poważne luki 0-day, które miały być aktywnie wykorzystywane. Obie zostały zgłoszone firmie anonimowo.
Informacje pochodzące z The Hacker News wskazują, że próby wykorzystania tych luk skierowane były przeciwko posiadaczom starszych urządzeń, takich jak iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 oraz iPod touch (6. generacji).
Luka CVE-2021-30761
W pierwszym przypadku luka dotyczyła problemów z uszkodzeniem pamięci. Za jej pomocą możliwe było zmuszenie Safari do wykonania dowolnego kodu podczas przetwarzania złośliwie spreparowanej zawartości sieci Web. Apple naprawiło ten błąd poprzez ulepszenie zarządzania pamięcią.
Luka CVE-2021-30762
Kolejny problem był stosunkowo podobny do pierwszego. Tym razem wykorzystywał jednak podatność związaną z nieprawidłowym wykorzystaniem pamięci podczas działania przeglądarki. On także pozwalał na uruchomienie dowolnego kodu, a ulepszenie zarządzania pamięcią poradził sobie z jego istnieniem.
Apple nie ujawnia szczegółów
Firma nie opublikowała jeszcze żadnych dodatkowych szczegółów dotyczących tych luk. Nie jest to jednak zaskakujące, bowiem już wcześniej firma nie miała w zwyczaju ujawniać szczegółów na temat charakteru ataków czy ofiar, które mogły być celem ataków.
Poza wcześniej wspomnianymi lukami, firma poinformowała także o rozwiązaniu problemu CVE-2021-30737. Zgodnie z opisem, Safari, poprzez przetworzenie złośliwie spreparowanego certyfikatu, mogło wykonać dowolny kod. Niezbędne było naprawienie problemu związanego z uszkodzeniem pamięci w dekoderze ASN.1.