CVE-2021-30661

Apple Multiple Products

ВЕРОЯТНОСТЬ 0.1%
Дата обнаружения

2021-11-03

Официальное описание

Apple iOS, iPadOS, macOS, tvOS, watchOS, and Safari WebKit Storage contain a use-after-free vulnerability that leads to code execution when processing maliciously crafted web content. This vulnerability could impact HTML parsers that use WebKit, including but not limited to Apple Safari and non-Apple products which rely on WebKit for HTML processing.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа «использование после освобождения» (Use-After-Free) в компоненте WebKit Storage. Злоумышленник может создать специальную веб-страницу, которая при обработке в браузере или приложении, использующем WebKit, приводит к выполнению произвольного кода на устройстве жертвы. Это позволяет получить контроль над системой.

Как исправить

Установите обновления безопасности от Apple, устраняющие CVE-2021-30661. Требуемые минимальные версии:

  • iOS / iPadOS: 14.5 и новее.
  • macOS Big Sur: 11.3 и новее.
  • macOS Catalina: Security Update 2021-002 (10.15.7).
  • macOS Mojave: Security Update 2021-003 (10.14.6).
  • tvOS: 14.5 и новее.
  • watchOS: 7.4 и новее.
  • Safari: 14.1 и новее (для macOS Catalina и macOS Mojave).

Процедура обновления: 1. На устройстве Apple перейдите в Системные настройки (Настройки) > Основные > Обновление ПО. 2. Установите все доступные обновления операционной системы. 3. Для macOS Mojave и Catalina также необходимо установить обновление Safari через App Store > Обновления.

Для Linux-систем, использующих WebKitGTK (например, в браузерах Epiphany, WPE WebKit): Обновите пакет webkit2gtk до версии, содержащей патч. Команда для систем на базе Debian/Ubuntu:

sudo apt update && sudo apt install --only-upgrade libwebkit2gtk-4.0-37

Убедитесь, что установленная версия пакета не ниже 2.32.0 (или актуальной исправленной версии из репозитория вашего дистрибутива).

Временное решение

Если немедленное обновление невозможно, примените следующие ограничительные меры:

  1. Ограничение доступа к браузеру:

    • В корпоративной среде используйте политики для временного блокирования доступа к Safari или другим браузерам на основе WebKit.
    • Отключите JavaScript в настройках браузера (сильно ограничивает функциональность веб-сайтов).

  2. Настройка WAF/Прокси:

    • Настройте корпоративный WAF (Web Application Firewall) или прокси-сервер на фильтрацию и блокировку известных вредоносных HTML-конструкций, эксплуатирующих UAF в WebKit.
    • Пример правила для ModSecurity (концептуально): apache SecRule REQUEST_BODY "@rx malicious_pattern_related_to_CVE-2021-30661" \ "id:1001,deny,status:403,msg:'Blocked potential CVE-2021-30661 exploit'" (Требуется актуальная сигнатура от поставщика правил безопасности).

  3. Сетевая изоляция:

    • Ограничьте доступ с уязвимых систем к недоверенным веб-ресурсам с помощью правил межсетевого экрана или сегментации сети.

  4. Информирование пользователей:

    • Издайте предупреждение для пользователей о запрете посещения недоверенных веб-сайтов до момента установки обновлений.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей