CVE-2024-23296

Apple Multiple Products

ВЕРОЯТНОСТЬ 0.2%
Дата обнаружения

2024-03-06

Официальное описание

Apple iOS, iPadOS, macOS, tvOS, and watchOS RTKit contain a memory corruption vulnerability that allows an attacker with arbitrary kernel read and write capability to bypass kernel memory protections.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-23296 представляет собой критическую уязвимость типа «memory corruption» (повреждение памяти) в RTKit — операционной системе реального времени, используемой Apple в различных аппаратных компонентах (например, в сопроцессорах).

Проблема заключается в недостаточном контроле границ памяти. Злоумышленник, уже обладающий правами на чтение и запись в ядро (kernel read/write), может использовать этот недостаток для полного обхода механизмов защиты памяти ядра. Это позволяет закрепиться в системе на самом низком уровне, манипулировать процессами и скрывать вредоносную активность от стандартных средств мониторинга ОС.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официальных обновлений безопасности от Apple, в которых была улучшена обработка состояния памяти.

Необходимо обновить устройства до следующих версий (или более новых):

  • iOS 17.4 и iPadOS 17.4
  • iOS 16.7.6 и iPadOS 16.7.6
  • macOS Sonoma 14.4
  • macOS Ventura 13.6.5
  • macOS Monterey 12.7.4
  • tvOS 17.4
  • watchOS 10.4

Для принудительного поиска обновлений на macOS через терминал используйте:

softwareupdate -i -a

Для мобильных устройств (iOS/iPadOS): Перейдите в Настройки -> Основные -> Обновление ПО и инициируйте установку.

Временные меры

Поскольку уязвимость находится на уровне RTKit и ядра, программных способов «запатчить» её без обновления ОС не существует. Если немедленное обновление невозможно, рекомендуется принять следующие меры для снижения риска:

  • Режим блокировки (Lockdown Mode): Включите этот режим на критически важных устройствах iOS и macOS. Он значительно сокращает поверхность атаки, отключая сложные веб-технологии и ограничивая функции связи.
  • Минимизация привилегий: Убедитесь, что пользователи не работают под учетными записями администратора на macOS без необходимости, чтобы затруднить получение первичного доступа к ядру.
  • Контроль источников ПО: Запретите установку приложений из сторонних источников и использование профилей конфигурации (MDM) от недоверенных поставщиков.
  • Изоляция скомпрометированных устройств: Если есть подозрение на наличие эксплойта, устройство должно быть немедленно отключено от корпоративной сети и переустановлено с нуля до актуальной версии ОС.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей