CVE-2020-9818

Суть уязвимости

Злоумышленник может отправить специально сформированное электронное письмо. При его обработке встроенным приложением Mail на уязвимом устройстве происходит запись данных за пределами выделенной области памяти (out-of-bounds write). Это может привести к: * Аварийному завершению работы приложения Mail. * Изменению содержимого памяти, что потенциально может быть использовано для выполнения произвольного кода.

Как исправить

Установите обновление ПО от Apple, которое устраняет данную уязвимость. Требуемые минимальные версии:

• Для iPhone 6s и новее, iPad Air 2 и новее, iPad mini 4 и новее, iPod touch (7-го поколения):
  • iOS 13.5 или новее.
• Для iPad Pro (все модели), iPad (5-го поколения и новее), iPad Air (3-го поколения и новее), iPad mini (5-го поколения и новее):
  • iPadOS 13.5 или новее.
• Для Apple Watch Series 1 и новее:
  • watchOS 6.2.5 или новее.

Процедура обновления: 1. Подключите устройство к источнику питания и сети Wi-Fi. 2. Перейдите в Настройки > Основные > Обновление ПО. 3. Если обновление доступно, нажмите «Загрузить и установить».

Временное решение

Если немедленное обновление невозможно, предпримите следующие меры для снижения риска:

• Отключите обработку HTML-писем в приложении Mail:
  • Перейдите в Настройки > Пароли и учетные записи > Загрузка данных.
  • Выберите опцию «Текст» для параметра «Загрузка». Это заставит Mail отображать письма как простой текст, что предотвратит выполнение вредоносного HTML/JavaScript-кода, но также лишит письма форматирования.
• Используйте альтернативное почтовое приложение (например, Outlook, Spark) из App Store до момента установки обновления.
• Повысьте бдительность пользователей: предупредите о нежелательности открытия писем от неизвестных отправителей, особенно с вложениями или необычным содержимым, при использовании стандартного приложения Mail.