Корпорація Apple випустила серію термінових оновлень безпеки для всієї лінійки своїх пристроїв. Причиною поспіху стала критична діра нульового дня (zero-day), яка дозволяла хакерам запускати шкідливий код просто під час перегляду вебсторінок. Видання Bleeping Computer повідомляє, що зловмисники могли отримати доступ до операційної системи в обхід стандартних механізмів захисту.
Оновлення закриває вже шосту таку критичну вразливість Apple з початку цього року.
Анатомія вразливості: як працювала атака
Проблему знайшли у графічному рушії ANGLE, який відповідає за трансляцію команд для відеокарти при рендерингу вебсторінок. Спеціально розроблений HTML-код дозволяв хакерам вийти за межі ізольованого браузерного середовища (пісочниці) та виконати будь-який код у графічному процесорі системи. Це відкривало шлях до повного перехоплення контролю над пристроєм.
Вразливість першими виявили експерти аналітичної групи Google Threat Analysis Group (TAG) — Влад Столяров та Клеман Лесінь. Вони зафіксували реальні спроби використання цієї вразливості на користувачах браузера Google Chrome. Команда Google оперативно оновила Chrome у липні, а тепер відповідну діру залатала й Apple у своїх фірмових системах.
Які системи потрібно оновити негайно
| Платформа Apple | Версія безпечного патчу | Пристрої під загрозою |
|---|---|---|
| iOS / iPadOS | iOS 18.6 / iPadOS 18.6 | iPhone XS і новіші, iPad 7-го покоління і свіжіші |
| macOS | macOS Sequoia 15.6 | Комп’ютери та ноутбуки Mac на базі Apple Silicon та Intel |
| iPadOS (старі версії) | iPadOS 17.7.9 | Застарілі моделі iPad Pro та iPad 6-го покоління |
| tvOS | tvOS 18.6 | Медіаплеєри Apple TV HD та 4K версії |
| visionOS | visionOS 2.6 | Гарнітура змішаної реальності Apple Vision Pro |
| watchOS | watchOS 11.6 | Apple Watch Series 6 та новіші версії смарт-годинників |
Кібербезпекова агенція США (CISA) вже додала цю проблему до державного каталогу відомих загроз. Державні відомства США мають оновити свої пристрої до 12 серпня. Звичайним користувачам також радять не зволікати з апдейтом Safari та операційних систем, щоб уберегтися від потенційних атак.
Підсумок
Apple випустила екстрені оновлення безпеки для своїх пристроїв, включаючи iPhone, iPad, Mac та Apple Watch. Мета патчів — усунення вразливості нульового дня в графічному рушії ANGLE, через яку зловмисники могли запускати сторонній код у GPU операційної системи за допомогою шкідливого вебконтенту. Вразливість була зафіксована експертами Google в атаках на користувачів Chrome, що змусило Apple оперативно підготувати виправлення для своїх платформ. Державна агенція з кібербезпеки США (CISA) офіційно класифікувала діру як небезпечну та рекомендує всім користувачам негайно встановити останні оновлення.
