CVE-2024-23225

Apple Multiple Products

ВЕРОЯТНОСТЬ 0.2%
Дата обнаружения

2024-03-06

Официальное описание

Apple iOS, iPadOS, macOS, tvOS, watchOS, and visionOS kernel contain a memory corruption vulnerability that allows an attacker with arbitrary kernel read and write capability to bypass kernel memory protections.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-23225 представляет собой критическую уязвимость типа «memory corruption» (повреждение памяти) в ядре операционных систем Apple. Проблема связана с недостаточной валидацией при обработке системных вызовов или манипуляциях с объектами ядра.

Злоумышленник, уже обладающий правами на чтение и запись в память ядра (например, через цепочку других эксплойтов), может использовать данную уязвимость для полного обхода механизмов защиты памяти ядра (Kernel Memory Protections). Это позволяет закрепиться в системе, выполнить произвольный код на уровне привилегий ядра и полностью скомпрометировать устройство, игнорируя такие технологии, как KTRR (Kernel Text Read-only Region) или PPL (Page Protection Layer).

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности от Apple, в которых была улучшена проверка состояния памяти.

Необходимо обновить устройства до следующих версий (или более новых): * iOS 17.4 и iPadOS 17.4 * iOS 16.7.6 и iPadOS 16.7.6 * macOS Sonoma 14.4 * macOS Ventura 13.6.5 * macOS Monterey 12.7.4 * tvOS 17.4 * watchOS 10.4 * visionOS 1.1

Инструкции по обновлению:

Для macOS (через терминал):

softwareupdate -i -a

Для iOS/iPadOS: Перейдите в Настройки > Основные > Обновление ПО и нажмите Установить сейчас.

Для проверки текущей версии ОС в macOS:

sw_vers

Временные меры

Поскольку уязвимость находится на уровне ядра, программных способов «запатчить» её без обновления ОС не существует. Если немедленное обновление невозможно, рекомендуется принять следующие меры для снижения риска эксплуатации:

  • Соблюдение принципа наименьших привилегий: Ограничьте установку приложений только из доверенных источников (App Store), чтобы предотвратить запуск вредоносного кода, который может инициировать атаку на ядро.
  • Использование режима блокировки (Lockdown Mode): Для пользователей с высоким риском таргетированных атак включение этого режима на iOS и macOS существенно сокращает поверхность атаки на ядро.
  • Изоляция критических систем: Отключите возможность автоматического подключения к неизвестным Wi-Fi сетям и использование аксессуаров через USB без разблокировки устройства.
  • Мониторинг (для macOS): Используйте инструменты анализа поведения (например, Endpoint Security Framework), чтобы отслеживать подозрительные попытки доступа к памяти ядра или загрузку неподписанных расширений ядра (KEXTs).

Проверка статуса SIP (System Integrity Protection) на macOS (должен быть включен):

csrutil status
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей