CVE-2019-8605

Apple Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-27

Официальное описание

A use-after-free vulnerability in Apple iOS, macOS, tvOS, and watchOS could allow a malicious application to execute code with system privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2019-8605 (известная как SockPuppet) представляет собой критическую уязвимость типа Use-After-Free (использование памяти после освобождения) в ядре операционных систем Apple (XNU). Проблема локализована в подсистеме обработки сетевых сокетов.

Злонамеренное приложение может манипулировать определенными параметрами сокета, чтобы вызвать состояние гонки или некорректное освобождение объектов в памяти ядра. Это позволяет атакующему: * Получить полный контроль над памятью ядра. * Выполнить произвольный код с привилегиями уровня системы (Kernel-level privileges). * Осуществить полный обход механизмов безопасности (Sandbox escape).

Данная уязвимость активно использовалась в инструментах для джейлбрейка (например, Unc0ver) и представляет высокий риск для конфиденциальности данных.

Как исправить

Основным методом устранения является обновление операционной системы до версии, в которой исправлена логика управления памятью в ядре.

Для iOS и iPadOS: Обновите устройства до версии 12.4.1 или выше.

softwareupdate --install -a

(Примечание: На мобильных устройствах рекомендуется использовать графический интерфейс: Настройки -> Основные -> Обновление ПО)

Для macOS: Установите macOS Mojave 10.14.6 (с дополнительным обновлением Supplemental Update), macOS High Sierra или macOS Sierra с соответствующими патчами безопасности.

softwareupdate -i -a

Для tvOS: Обновите Apple TV до версии 12.4.1 или выше через меню настроек системы.

Для watchOS: Обновите Apple Watch до версии 5.3.1 или выше через приложение Watch на сопряженном iPhone.

Временные меры

Если немедленное обновление ОС невозможно, необходимо применить следующие защитные тактики для снижения поверхности атаки:

  • Ограничение установки ПО: Запретите установку приложений из сторонних или ненадежных источников. Используйте профили MDM (Mobile Device Management) для ограничения установки новых программ.
  • Принцип минимальных привилегий: Ограничьте использование корпоративных устройств для личных целей, чтобы минимизировать риск запуска вредоносного кода.
  • Мониторинг процессов: На macOS используйте системы класса EDR (Endpoint Detection and Response) для отслеживания аномальной активности и попыток эксплуатации ядра.
  • Изоляция: Поместите критически важные устройства, которые невозможно обновить, в изолированные сегменты сети без прямого доступа к интернету.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей