Исследователи об информационной безопасности обнаружили серьезную уязвимость в операционных системах iOS и macOS от Apple, которая получила название iLeakage. Эта уязвимость представляет серьезную угрозу для пользователей, позволяя злоумышленникам использовать браузер Safari для кражи паролей, электронных писем, платежных данных и других личных сведений.
Согласно исследователям, на данный момент не имеется подтвержденных случаев эксплуатации этой уязвимости злоумышленниками. Однако потенциальная угроза остается весьма серьезной.
Уязвимость iLeakage проявляет себя в моменте атаки, когда пользователь посещает веб-сайт. В этот момент, фоново запускается другой веб-ресурс с вредоносным кодом, который используется для нарушения изоляции памяти. Ошибка заключается в том, что браузерный движок WebKit группирует сайты из разных доменов в один процесс с использованием функции JavaScript window.open. В результате этой неисправности у вредоносных сайтов есть доступ к общей памяти, что позволяет извлекать конфиденциальные данные из всего процесса.
iLeakage խոցելիությունը կարող է օգտագործվել A12, M1 և ավելի նոր պրոցեսորներով աշխատող սարքերում: Սխալը տեղի է ունենում միայն WebKit-ի վրա հիմնված բրաուզերներում: iOS-ում խոսքը բոլոր բրաուզերների մասին է, իսկ macOS-ում՝ միայն Safari-ի:
2018-ին նմանատիպ Spectre և Meltdown սխալներ էին հայտնաբերվել AMD-ի և Intel-ի պրոցեսորներում: Ընկերությունները ստիպված էին եղել թողարկել շտկումներ, և Apple-ը նման հարձակումներից պաշտպանության համակարգը տեղափոխել էր իր չիպեր, սակայն iLeakage-ը շրջանցում է դրանք:
Ուսումնասիրության հեղինակները նշում են, որ iLeakage-ի միջոցով հարձակում իրականացնելն ավելի հեշտ է, քան դրան նախապատրաստվելը։ Դա անելու համար հարկավոր է ունենալ նմանատիպ սխալների հետ աշխատելու փորձ և խորը պատկերացում, թե ինչպես են աշխատում Apple-ի պրոցեսորները: Այդ պատճառով դեռ ոչ ոք չի օգտագործել սխալը։
Apple-ը տեղյակ է iLeakage-ի մասին և պատրաստում է շտկել այն։
месяц
неделя
день