CVE-2021-30860

Apple Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Apple iOS, iPadOS, macOS, and watchOS CoreGraphics contain an integer overflow vulnerability which may allow code execution when processing a maliciously crafted PDF. The vulnerability is also known under the moniker of FORCEDENTRY.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-30860, FORCEDENTRY) — это целочисленное переполнение в компоненте CoreGraphics, отвечающем за обработку PDF. Эксплуатация возможна без взаимодействия с пользователем.

  • Вектор атаки: Злоумышленник может отправить жертве специально созданный PDF-файл (например, через iMessage, почту или веб-сайт).
  • Механизм: При обработке вредоносного PDF возникает ошибка в вычислениях с целыми числами, что приводит к повреждению памяти.
  • Результат: Это позволяет выполнить произвольный код на устройстве жертвы с правами текущего пользователя, потенциально приводя к полному компрометированию системы.

Как исправить

Уязвимость устранена производителем. Необходимо обновить операционные системы Apple до версий, содержащих исправления.

Установите следующие обновления безопасности:

  • iOS / iPadOS: Обновитесь до iOS 14.8 и iPadOS 14.8 или более поздней версии.
    • На устройстве: НастройкиОсновныеОбновление ПО.
  • macOS: Обновитесь до macOS Big Sur 11.6 или более поздней версии.
    • На Mac: Системные настройкиОбновление ПО.
  • watchOS: Обновитесь до watchOS 7.6.2 или более поздней версии.
    • В приложении Watch на iPhone: Мои часыОсновныеОбновление ПО.

Для Linux/Windows систем, где используются продукты Apple (например, iTunes): Обновите соответствующие приложения через официальные каналы. Для macOS в виртуальной машине — обновите гостевую ОС.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничение обработки PDF:

    • Открывайте PDF-файлы только в изолированных средах (например, в песочнице).
    • Рассмотрите возможность использования альтернативных PDF-просмотрщиков, не основанных на системном CoreGraphics, для файлов из ненадежных источников.

  2. Повышение осведомленности:

    • Инструктируйте пользователей не открывать PDF-файлы, полученные из непроверенных источников (особенно через мессенджеры и email).

  3. Сетевые меры (если применимо):

    • Настройте фильтрацию на почтовом шлюзе и межсетевом экране (NGFW) на блокировку файлов с расширением .pdf или вложений типа application/pdf, если это допустимо для бизнес-процессов.
    • Пример правила для Suricata/WAF (концептуально): bash alert http any any -> $HOME_NET any (msg:"Потенциальная попытка доставки PDF"; file_data; content:"%PDF-"; within:5; sid:1000001; rev:1;)
    • Важно: Это грубая мера, так как атака может использовать другие расширения или быть встроенной в другие форматы.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей