Apple отозвала экстренные патчи для 0-day уязвимости: они блокировали работу сайтов - «Новости»

  • 10:30, 13-июл-2023
  • Новости / Преимущества стилей / Сайтостроение / Вёрстка
  • Демид
  • 0

Инженеры Apple сообщают, что экстренные обновления безопасности, выпущенные на этой неделе для устранения уже находящейся под атаками 0-day уязвимости, мешали отображению некоторых сайтов. В итоге RSR-патчи были отозваны.


Напомню, что ранее Apple обнародовала RSR-патчи (Rapid Security Response), исправляющие уязвимость нулевого дня (CVE-2023-37450), которая застрагивает пользователей iPhone, Mac и iPad. В компании предупреждали, что проблема, похоже, уже используется злоумышленникам.


Уязвимость была обнаружена в движке WebKit. Она позволяет злоумышленникам выполнять произвольный код на целевых устройствах, если злоумышленнику удастся обманом заставить цель открыть страницу, содержащую вредоносный контент.


Однако теперь разработчики Apple отозвали эти обновления. В компании не объяснили, что именно произошло, и почему некоторые сайты работали некорректно после установки патчей. Судя по всему, было нарушено обнаружение user-agent некоторых сервисов (например, Zoom, Facebook* и Instagram*), и в результате сайты стали отображать ошибки при использовании Safari.


К примеру, после применения обновлений на iOS-устройстве новым user agent, содержащим строку «(a)», становится Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1. Это не позволяло сайтам определить его как допустимую версию Safari и приводило к появлению ошибок «браузер не поддерживается».


«Apple известно о проблеме, из-за которой недавние Rapid Security Response могут мешать правильному отображению некоторых веб-сайтов, — сообщают в компании. — Для решения этой проблемы скоро будут доступны Rapid Security Response для iOS 16.5.1 (b), iPadOS 16.5.1 (b) и macOS 13.4.1 (b)».


Теперь компания советует пользователям, которые уже установили проблемные обновления, удалить их, если у них возникают проблемы при просмотре сайтов.


Отметим, что это не первые проблемы с RSR-патчами, возникшие у Apple. Выпуск первых «заплаток» такого рода тоже не совсем удался: в мае текущего года у некоторых пользователей возникли проблемы с установкой RSR-патчей на iPhone.


* Принадлежит Meta Platforms, деятельность которой признана экстремисткой и запрещена в России.


 


Инженеры Apple сообщают, что экстренные обновления безопасности, выпущенные на этой неделе для устранения уже находящейся под атаками 0-day уязвимости, мешали отображению некоторых сайтов. В итоге RSR-патчи были отозваны. Напомню, что ранее Apple обнародовала RSR-патчи (Rapid Security Response), исправляющие уязвимость нулевого дня (CVE-2023-37450), которая застрагивает пользователей iPhone, Mac и iPad. В компании предупреждали, что проблема, похоже, уже используется злоумышленникам. Уязвимость была обнаружена в движке WebKit. Она позволяет злоумышленникам выполнять произвольный код на целевых устройствах, если злоумышленнику удастся обманом заставить цель открыть страницу, содержащую вредоносный контент. Однако теперь разработчики Apple отозвали эти обновления. В компании не объяснили, что именно произошло, и почему некоторые сайты работали некорректно после установки патчей. Судя по всему, было нарушено обнаружение user-agent некоторых сервисов (например, Zoom, Facebook* и Instagram*), и в результате сайты стали отображать ошибки при использовании Safari. К примеру, после применения обновлений на iOS-устройстве новым user agent, содержащим строку «(a)», становится Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1. Это не позволяло сайтам определить его как допустимую версию Safari и приводило к появлению ошибок «браузер не поддерживается». «Apple известно о проблеме, из-за которой недавние Rapid Security Response могут мешать правильному отображению некоторых веб-сайтов, — сообщают в компании. — Для решения этой проблемы скоро будут доступны Rapid Security Response для iOS 16.5.1 (b), iPadOS 16.5.1 (b) и macOS 13.4.1 (b)». Теперь компания советует пользователям, которые уже установили проблемные обновления, удалить их, если у них возникают проблемы при просмотре сайтов. Отметим, что это не первые проблемы с RSR-патчами, возникшие у Apple. Выпуск первых «заплаток» такого рода тоже не совсем удался: в мае текущего года у некоторых пользователей возникли проблемы с установкой RSR-патчей на iPhone. * Принадлежит Meta Platforms, деятельность которой признана экстремисткой и запрещена в России.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!