Apple исправила несколько 0-day багов в WebKit

[wolfgram]

Today, Apple has released security updates that fix two actively exploited iOS zero-day vulnerabilities in the Webkit engine used by hackers to attack iPhones, iPads, iPods, macOS, and Apple Watch devices.

"Apple is aware of a report that this issue may have been actively exploited," the company said in multiple security advisories published today.
Webkit is Apple's browser rendering engine that is required to be used by all mobile web browsers in iOS and other applications that render HTML, such as Apple Mail and the App Store.
These vulnerabilities are tracked as CVE-2021-30665 and CVE-2021-30663, and both allow arbitrary remote code execution (RCE) on vulnerable devices simply by visiting a malicious website.

RCE vulnerabilities are considered the most dangerous as they allow attackers to target vulnerable devices and execute commands on them remotely.

CVE-2021-30665 was discovered by Yang Kang, zerokeeper, and Bian Liang of Qihoo 360 ATA, while CVE-2021-30663 was reported to Apple by a researcher who wishes to remain anonymous.

The list of affected devices includes:

• iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
• macOS Big Sur
• Apple Watch Series 3 and later

The zero-days were addressed by Apple earlier today in the iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1, and the watchOS 7.4.1 updates.

iOS 14.5.1 update
This update also resolved a bug that prevented users from seeing App Tracking Transparency prompts within apps.

"This update fixes an issue with App Tracking Transparency where some users who previously disabled Allow Apps to Request to Track in Settings may not receive prompts from apps after re-enabling it," stated Apple in their iOS 14.5.1 release notes.

Apple has been dealing with a stream of actively exploited zero-day vulnerabilities over the past few months, with one fixed in macOS last month and numerous other iOS vulnerabilities fixed in the previous months.

 

[ve1]

На этой неделе разработчики Apple выпустили обновления безопасности, устранив в своих продуктах сразу три уязвимости нулевого дня. По данным компании, все эти проблемы уже могли использоваться хакерами.

Все баги затрагивают браузерный движок WebKit, лежащий «в сердце» Safari. Кроме того, WebKit работает и в большинстве продуктов компании, как встроенный компонент (в том числе в iPadOS, tvOS и watchOS), который используется для отображения веб-контента, когда нет необходимости загружать полноценный браузер.

Apple представила исправления, выпустив macOS Big Sur 11.3.1, iOS 12.5.3, iOS 14.5.1, iPadOS 14.5.1 и watchOS 7.4.1, а упомянутым выше 0-day уязвимостям были присвоены идентификаторы CVE-2021-30663, CVE- 2021-30665 и CVE-2021-30666.

Также стоит отметить, что в iOS 12.5.3 вошел дополнительный патч для бага CVE-2021-30661. По данным СМИ, это четвертая проблема нулевого дня в WebKit, для которой инженеры Apple уже выпускали исправления неделей ранее (iOS, iPadOS, watchOS и tvOS).

Пока в компании не раскрывают детали уязвимостей, а также информацию о возможных атаках на них. Все проблемы пока описаны одинаково лаконично: «обработка вредоносного веб-контента может привести к выполнению произвольного кода».

Источник: xakep.ru/2021/05/04/webkit-0days/

 

[baykal]

Вчера вечером Apple выпустили множество обновлений для всей линейки своих устройств, в которых содержится много интересного. Начнем по порядку.

Во-первых, закрыли CVE-2021-30663 и CVE-2021-30665 в браузерном движке WebKit для tvOS. Это те самые 0-day уязвимости, которые были устранены в остальных яблочных операционках еще в начале мая и могли привести к удаленному выполнению кода (RCE) на атакованных устройствах. Более того, ошибки, по словам Apple, могли быть использованы в дикой природе (хотя никакой конкретики предоставлено не было). Почему в таком случае их так долго исправляли в tvOS - вопрос отдельный.

Во-вторых, исправлена 0-day уязвимость CVE-2021-30713 для macOS Big Sur. Ошибка позволяла хакеру обходить механизм TCC, контролирующий совершение приложениями действий, требующих явного разрешения пользователя, - доступа к камере, микрофону, кейлоггинг, снятие скриншотов и пр, и теоретически позволяла осуществить все это без оного пользовательского разрешения.

Исследователи из Jamf, те ребята, которые ранее нашли в дикой природе эксплойт другой макосовской уязвимости CVE-2021-30657 в дроппере Shlayer, обнаружили, что эта ошибка активно использовалась вредоносом XCSSET для того, чтобы делать скриншоты и записывать экран в macOS.

XCSSET был найден в августе прошлого года японцами из TrendMicro и уже тогда активно использовал две 0-day уязвимости в macOS. Судя по функционалу он не принадлежит к кибершпионскому арсеналу, а является чисто коммерческой малварью, распространяющейся внутри скомпрометированных проектов Xcode (что само по себе весьма продвинуто).

В-третьих, вышла iOS 14.6, в которой помимо кучи свистоперделок исправлено более 30 уязвимостей, среди которых есть как критические, например, куча приводящих к RCE и XSS ошибок в многострадальном WebKit, так и просто любопытные - CVE-20201-30707 с оценкой критичности в 6,3, которая дает возможность хакеру добиться RCE при обработке устройством специальным образом сформированного аудиофайла.

Поэтому пока не обновитесь - никаких аудиосообщений от незнакомых пользователей в WhatsApp.