Спустя неделю после выпуска версии iOS 14.5 Apple выпустила обновление для iOS, iPadOS, macOS и watchOS, исправляющее две уязвимости нулевого дня. В компании утверждают, что уязвимости могли активно использоваться злоумышленниками.
Обновление iOS 14.5.1, iPadOS 14.5.1, watchOS 7.4.1, macOS Big Sur 11.3.1, а также iOS 12.5.3 для старых устройств устраняет уязвимости в браузерном движке WebKit, эксплуатация которых могла привести к удаленному выполнение кода при обработке вредоносного веб-контента. Уязвимости получили идентификаторы CVE-2021-30663 и CVE-2021-30665.
CVE-2021-30665 обнаружили исследователи из китайской компании по безопасности Qihoo 360, другую — анонимный специалист. Компания пока не дает подробностей об уязвимостях и сведений о возможных атаках с их использованием.
Apple также исправила CVE-2021-30661 — ошибку функции App Tracking Transparency. Эта функция используется для защиты от отслеживания активности пользователя в приложениях. В Apple пояснили, что обновление устраняет проблему, из-за которой пользователи, ранее отключившие параметр “Разрешить приложениям отправлять запросы на отслеживание” в настройках, могут не получать запросы от приложений после повторного включения.
Apple внедрила прозрачность отслеживания приложений в iOS 14.5 на прошлой неделе. Как пишет ArsTechnica, есть сообщения о том, что ошибка присутствует даже после обновления до iOS 14.5.1.
Тем временем, согласно данным Google Project Zero, недавно исправленные уязвимости iOS увеличивают количество багов нулевого дня iOS до семи. На данный момент в 2021 году было обнаружено 22 уязвимости нулевого дня, и почти 33% из них — в мобильной ОС Apple. Это делает iOS второй по популярности для злоумышленников в этом году после браузера Chrome,в котором найдено восемь багов нулевого дня.