CVE-2021-1789

Суть уязвимости

Уязвимость типа "путаница типов" (type confusion) в компонентах WebKit, используемых в браузерах и веб-просмотре на устройствах Apple. Злоумышленник может создать специальную веб-страницу, которая при посещении жертвой приводит к ошибке обработки типов данных в памяти. Это позволяет обойти механизмы защиты и выполнить произвольный вредоносный код на устройстве пользователя.

Как исправить

Уязвимость устранена в официальных обновлениях безопасности от Apple. Необходимо обновить операционную систему на всех устройствах до версий, содержащих исправления:

• iOS и iPadOS: до версии 14.4 или новее.
• macOS: до версии Big Sur 11.2, Catalina 10.15.7 Supplemental Update или Mojave 10.14.6 Security Update 2021-002.
• Safari: до версии 14.0.3 для macOS Catalina и macOS Mojave.
• watchOS: до версии 7.3 или новее.
• tvOS: до версии 14.4 или новее.

Процедура обновления: 1. На устройстве перейдите в Настройки → Основные → Обновление ПО (для iOS/iPadOS/watchOS/tvOS). 2. Для macOS перейдите в Системные настройки → Обновление ПО. 3. Установите предложенное обновление и перезагрузите устройство.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

1. Ограничение веб-активности:

   • Используйте браузеры, не основанные на WebKit (например, Firefox или Chrome на Windows/Linux, но не на Apple устройствах, так как все браузеры на iOS/iPadOS используют WebKit).
   • Избегайте посещения непроверенных и подозрительных веб-сайтов.

2. Настройка WAF/Прокси:

   • Настройте корпоративный Web Application Firewall (WAF) или прокси-сервер для блокировки известных вредоносных доменов и URL, которые могут эксплуатировать эту уязвимость. Актуализируйте сигнатуры IPS/IDS.

3. Повышение осведомленности:

   • Проинформируйте пользователей о повышенной опасности перехода по ссылкам из непроверенных источников (письма, мессенджеры).

Важно: Данные меры лишь снижают вероятность атаки, но не устраняют уязвимость. Установка официального патча обязательна.