Атака на устройства Apple: компания выпустила обновление безопасности

Компания не раскрывает количество пользователей, которые пострадали. Сотрудники Apple призывают всех обновить устройства. Редакция MC.today рассказывает подробности.

Что случилось

Apple выпустила небольшое обновление безопасности для iPhone, iPad и Apple Watch. Оно блокирует «злонамеренно созданный веб-контент, который приводит к универсальному межсайтовому скриптингу». По словам представителей компании, данная уязвимость уже использовалась в реальных атаках.

Что такое межсайтовый скриптинг

XSS (cross-site scripting) – тип атаки, которая происходит, когда злоумышленник пытается внедрить скрипт в страницу, выдаваемую веб-приложением, и выполнить его в браузере клиента. Обычно это делается, когда внедряется новый код HTML, JavaScript или CSS-разметка. В HTML достаточно мест, где можно добавить в страницу исполняемый скрипт, а браузеры предоставляют немало способов сделать это. Любые входные данные веб-приложения, например параметры HTTP-запросов, способны внедрить код.

Что за уязвимость

Apple заявила, что уязвимость, которую обнаружили исследователи в области безопасности в проекте Google Project Zero, возможно, была «активно использована» хакерами. Ошибка обнаружена в WebKit, движке браузера, который питает браузер Safari на всех устройствах Apple.

Неизвестно, кто активно использует уязвимости или кто мог стать жертвой. Apple не сказала, сколько пользователей могли пострадать. Это уже третий раз, когда Apple выпустила в этом году обновление только для безопасности, чтобы исправить недостатки при активной атаке. Ранее в этом месяце компания выпустила патчи для аналогичных уязвимостей в WebKit.