Safari dziurawe jak szwajcarski ser. Apple śpieszy z łatkami

Safari doczekało się pozakolejkowych poprawek do silnika WebKit. Apple podało, że naprawiło dwie poważne luki 0-day, które miały być aktywnie wykorzystywane. Obie zostały zgłoszone firmie anonimowo.

Informacje pochodzące z The Hacker News wskazują, że próby wykorzystania tych luk skierowane były przeciwko posiadaczom starszych urządzeń, takich jak iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 oraz iPod touch (6. generacji).

W pierwszym przypadku luka dotyczyła problemów z uszkodzeniem pamięci. Za jej pomocą możliwe było zmuszenie Safari do wykonania dowolnego kodu podczas przetwarzania złośliwie spreparowanej zawartości sieci Web. Apple naprawiło ten błąd poprzez ulepszenie zarządzania pamięcią.

Kolejny problem był stosunkowo podobny do pierwszego. Tym razem wykorzystywał jednak podatność związaną z nieprawidłowym wykorzystaniem pamięci podczas działania przeglądarki. On także pozwalał na uruchomienie dowolnego kodu, a ulepszenie zarządzania pamięcią poradził sobie z jego istnieniem.

Firma nie opublikowała jeszcze żadnych dodatkowych szczegółów dotyczących tych luk. Nie jest to jednak zaskakujące, bowiem już wcześniej firma nie miała w zwyczaju ujawniać szczegółów na temat charakteru ataków czy ofiar, które mogły być celem ataków.

Poza wcześniej wspomnianymi lukami, firma poinformowała także o rozwiązaniu problemu CVE-2021-30737. Zgodnie z opisem, Safari, poprzez przetworzenie złośliwie spreparowanego certyfikatu, mogło wykonać dowolny kod. Niezbędne było naprawienie problemu związanego z uszkodzeniem pamięci w dekoderze ASN.1.