CERT-In обнаруживает угрозы высокой степени серьезности в браузерах iPhone, iPad, Mac, ChromeOS и Firefox

Индийская группа реагирования на компьютерные чрезвычайные ситуации (CERT-In), назначенная Министерством электроники и информационных технологий, обнаружила несколько уязвимостей высокой степени серьезности в iOS, iPadOS и macOS от Apple, а также в интернет-браузерах Google ChromeOS и Mozilla Firefox. iOS — это операционная система для моделей iPhone, iPadOS работает на моделях iPad, а macOS работает на компьютерах Mac. По данным узлового агентства, эти уязвимости могут использоваться для обхода ограничений безопасности и создания атак типа «отказ в обслуживании» (DoS), делающих устройства непригодными для использования.

Компьютеры Mac, работающие под управлением macOS Catalina с обновлением безопасности до 2022-005, macOS Big Sur с версиями до 11.6.8 и macOS Monterey с версиями до 12.5, находятся под угрозой. согласно CERT-In. Уязвимости в версиях macOS, а также iOS и iPadOS могут быть использованы удаленным злоумышленником, убедив жертву посетить вредоносный веб-сайт. Киберпреступник может выполнять произвольный код, обходить ограничения безопасности и вызывать DoS-условия в целевой системе.

Уязвимости macOS существуют из-за чтения за пределами границ в AppleScript, SMB и ядре, записи за пределами границ в Audio, ICU, PS Normalizer, драйверах GU, SMB и WebKit. В AppleMobileFileIntegrity обнаружены проблемы с авторизацией; раскрытие информации в Календаре и Медиатеке iCloud.

Похожие уязвимости были найдены в версиях iOS и iPadOS до 15.6. Уязвимости macOS существуют из-за записи за пределами границ аудио, ICU, драйверов графического процессора и WebKit, чтения за пределами границ в ImageIO и ядре, проблемы с авторизацией были обнаружены в AppleMobileFileIntegrity; раскрытие информации в календаре и библиотеке фотографий iCloud, среди прочего.

В случай Mozilla Firefox, версии до 103, версии ESR до 102.1 и 91.12 были признаны уязвимыми. Уязвимости существуют из-за ошибок безопасности памяти в движке браузера, кэша предварительной загрузки обходит целостность подресурсов, утечки информации о перенаправлении ресурсов между сайтами при использовании API производительности, среди прочего. Эти лазейки могут предоставить злоумышленнику доступ к конфиденциальной информации в целевой системе.

уязвимости в Google ChromeOS представляет довольно похожую угрозу, как Firefox. Уязвимости существуют в версиях канала Google ChromeOS LTS до 96.0.4664.215 из-за чтения за пределами границ в компоненте компоновки, неправильной реализации в Extension API, ошибки использования после освобождения в компоненте Blink XSLT, среди прочего.

CERT-In сообщает, что эти уязвимости можно исправить, установив обновления программного обеспечения. Пользователям этих операционных систем и Mozilla Firefox рекомендуется как можно скорее установить исправления программного обеспечения.