CVE-2022-22620

Суть уязвимости

Злоумышленник может создать специальную веб-страницу, которая при посещении пользователем (например, через Safari или другое приложение, использующее WebKit) приводит к ошибке use-after-free в обработчике HTML. Эта ошибка позволяет повредить память браузера и выполнить произвольный вредоносный код на устройстве жертвы с правами текущего пользователя.

Как исправить

Установите официальное обновление безопасности от Apple, которое устраняет эту уязвимость. Требуемые минимальные версии ПО:

• iOS и iPadOS: 15.4
• macOS Monterey: 12.3
• macOS Big Sur: 11.6.5
• macOS Catalina: 2022-003 Security Update (для поддерживаемых версий)

Процедура обновления: 1. На устройстве перейдите в Настройки -> Основные -> Обновление ПО. 2. Скачайте и установите доступное обновление. 3. Для macOS также можно использовать команду в терминале для принудительной проверки: bash sudo softwareupdate -l -a

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

• Ограничьте использование браузера Safari и других WebKit-приложений: Временно используйте альтернативные браузеры на других движках (например, Firefox или Chrome на macOS, где это возможно).
• Повысьте осведомленность пользователей: Предупредите сотрудников об опасности перехода по непроверенным ссылкам и посещения подозрительных сайтов.
• Настройте фильтрацию веб-трафика: Если используется прокси-сервер или WAF (Web Application Firewall), активируйте правила для блокировки известных вредоносных доменов и контента, эксплуатирующего уязвимости в HTML-парсерах.
• Для корпоративных устройств macOS: Рассмотрите возможность временного ограничения прав пользователей через MDM (Mobile Device Management), чтобы запретить запуск веб-браузеров, кроме утвержденных и обновленных.