CVE-2021-30762

Суть уязвимости

Злоумышленник может создать специальную веб-страницу, которая при открытии в уязвимом браузере (например, Safari) вызывает ошибку use-after-free в компоненте WebKit. Эта ошибка позволяет повредить память браузера и выполнить произвольный вредоносный код на устройстве жертвы. Атака может произойти при простом посещении скомпрометированного сайта.

Как исправить

Уязвимость устранена в официальных обновлениях iOS и iPadOS. Необходимо установить последнюю доступную версию.

1. Для iPhone и iPad:

   • Перейдите в Настройки > Основные > Обновление ПО.
   • Установите обновление до версии iOS 14.6 или более поздней (например, iOS 14.6, iPadOS 14.6).
   • Если доступна более новая версия (например, iOS 15.x), установите ее.

2. Для macOS (Safari):

   • Обновите Safari через Системные настройки > Обновление ПО.
   • Уязвимость была устранена в обновлениях безопасности для macOS Big Sur 11.4, Catalina 2021-003 и Mojave 2021-004.

3. Для других продуктов на WebKit (Linux, сторонние браузеры):

   • Проверьте наличие обновлений от вашего дистрибутива или разработчика ПО. Установите последнюю версию пакета, содержащего WebKitGTK или другой порт WebKit.
   • Пример для систем на базе Debian/Ubuntu: bash sudo apt update sudo apt install --only-upgrade libwebkit2gtk-4.0-37

Временное решение

Если немедленное обновление невозможно, примените ограничивающие меры:

• Используйте альтернативный браузер, не основанный на движке WebKit (например, Firefox или Chrome на десктопе). На iOS это ограничено, так как все браузеры используют WebKit.
• На корпоративных устройствах (MDM):
  • Временно ограничьте доступ к браузеру Safari через политики управления мобильными устройствами (MDM).
  • Настройте фильтрацию веб-контента (прокси, шлюз) для блокировки подозрительных и недоверенных сайтов.
• Повысьте осведомленность: предупредите пользователей об опасности перехода по неизвестным ссылкам и посещения непроверенных сайтов.