Firma Apple wydała dla systemów iOS i iPadOS pilną aktualizację, która usuwa lukę CVE-2022-22620. Gigant zaleca jak najszybszą aktualizację urządzeń, ponieważ ma powody, by sądzić, że luka jest już aktywnie wykorzystywana przez nieznane podmioty.
Dlaczego luka w zabezpieczeniach CVE-2022-22620 jest niebezpieczna?
Jak zwykle eksperci z firmy Apple nie ujawniają szczegółów luki, czekając na zakończenie dochodzenia i zainstalowanie łatki przez większość użytkowników. W tej chwili ujawniono tylko tyle, że luka należy do klasy Use-After-Free (UAF), czyli jest związana z nieprawidłowym wykorzystywaniem pamięci dynamicznej w aplikacjach. Dzięki niej atakujący mogą tworzyć szkodliwe treści internetowe, których przetwarzanie może prowadzić do wykonania dowolnego kodu na urządzeniu ofiary.
Najbardziej prawdopodobnym scenariuszem ataku jest infekcja iPhone’a lub iPada poprzez odwiedzenie takiej szkodliwej strony internetowej.
Które urządzenia i aplikacje są narażone na lukę CVE-2022-22620?
Sądząc po opisie, luka została znaleziona w silniku WebKit używanym w wielu aplikacjach dla systemów macOS, iOS i Linux. Na tym silniku z otwartym kodem źródłowym oparte są przede wszystkim wszystkie przeglądarki dla systemu iOS i iPadOS — nie tylko domyślna Safari w iPhone’ach, ale także Google Chrome, Mozilla Firefox i inne. W związku z tym nawet jeśli nie używasz Safari, ta luka nadal bezpośrednio zagraża bezpieczeństwu Twojego urządzenia.
Firma Apple wydała aktualizacje dla następujących urządzeń: iPhone 6s i nowsze; wszystkie modele iPada Pro, iPada Air w wersji 2 i nowsze, iPad począwszy od 5. generacji, iPad mini od 4. generacji i odtwarzacz multimedialny iPod touch od 7. generacji.
Jak zadbać o swoje bezpieczeństwo?
Łatki, które Apple udostępniło 10 lutego, zmieniają mechanizmy zarządzania pamięcią, a tym samym zapobiegają wykorzystaniu luki CVE-2022-22620. Aby chronić urządzenie, wystarczy zainstalować aktualizacje dla systemów iOS 15.3.1 i iPadOS 15.3.1. W celu zainstalowania poprawki urządzenie musi być podłączone do sieci Wi-Fi.
Jeśli urządzenie nie wyświetla jeszcze powiadomienia, że aktualizacja jest gotowa do instalacji, możesz wymusić ten proces ręcznie: przejdź do ustawień systemu (Ustawienia → Ogólne → Aktualizacja oprogramowania) i sprawdź dostępność aktualizacji oprogramowania.
Aby być na bieżąco z informacjami o najnowszych cyberzagrożeniach, zachęcamy do regularnego śledzenia naszego bloga.