В Apple iOS и macOS обнаружена критическая уязвимость
Специалисты команды Cisco Talos предупредили об уязвимости в функции проверки подлинности сертификатов X.509 в ОС Apple iOS и macOS, которая позволяет выполнить произвольный код и похитить информацию. Для эксплуатации проблемы злоумышленнику достаточно просто заманить пользователя на HTTPS-сайт, предоставляющий вредоносный X.509 сертификат.
Уязвимость существует в коде, ответственном за парсинг субполя nameConstraints в полях расширений сертификата X.509v3. «В функции проверки подлинности сертификатов X.509 в Apple macOS Sierra (версия 10.12.3 и публичная бета-версия 10.12.4 ) и iOS 10.2.1 существует уязвимость использования после освобождения. Проблема потенциально позволяет выполнить произвольный код и может быть проэксплуатирована при помощи специально сформированного сертификата», - пишут исследователи. Для осуществления атаки злоумышленник должен заставить жертву посетить HTTPS-сайт или подключиться к почтовому серверу, предоставляющим вредоносный сертификат, либо импортировать его.
Проблема затрагивает версии macOS Sierra 10.12.3 и iOS 10.2.1. Вполне возможно, уязвимость существует и в более ранних версиях операционных систем. Эксперты Cisco Talos уже проинформировали производителя об уязвимости. 27 марта Apple выпустила обновления macOS Sierra 10.12.4 и iOS 10.3, устраняющие вышеуказанную проблему.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш