Стало известно, что устройства от компании Apple потенциально уязвимы для эксплойта, который позволяет удаленно выполнять вредоносный код, нацеленный в первую очередь на обладателей криптокошельков. Сообщения об уязвимости начали распространяться в криптосообществе в среду. Бывший генеральный директор Binance Чанпэн Чжао (Changpeng Zhao) поднял тревогу в социальной сети X, когда посоветовал пользователям MacBook с процессорами Intel обновиться как можно скорее. Следом такое же предупреждение получили и пользователи iPhone.
Брешь в безопасности открывается при использовании веб-интерфейсов на базе JavaScript. Ошибка, обнаруженная исследователями из группы анализа угроз Google, позволяет «обрабатывать вредоносно созданный веб-контент», что может привести к «атаке с использованием межсайтовых сценариев». Согласно недавнему сообщению Apple о безопасности, пользователи должны использовать последние версии программного обеспечения JavaScriptCore и WebKit, чтобы устранить уязвимость.
Apple признала, что эта проблема «активно использовалась в системах Mac на базе Intel», но что еще более тревожно — аналогичное предупреждение о безопасности было опубликовано и для пользователей iPhone и iPad. В нем говорится, что уязвимость JavaScriptCore позволяет «обрабатывать вредоносно созданный веб-контент, который может привести к выполнению произвольного кода».
Скорее всего, пользователи iPhone и iPad могут стать жертвами эксплойта, который был обнаружен ранее для чипов Apple М1, М2 и М3. Эксплойт использует «предварительную выборку» — процесс, используемый чипами Apple серии M для ускорения взаимодействия с устройствами компании. Предварительная выборка сохраняет достоверные данные, в том числе криптографические ключи, в кэше процессора. Ранее считалось, что эти данные надежно защищены, но, как оказалось, злоумышленники могут завладеть ими и затем восстановить криптографические ключи.
Как считают эксперты сайта ArsTechnica, это очень серьезная проблема, поскольку уязвимость на уровне чипа не может быть устранена с помощью обновления программного обеспечения. Потенциальный способ решения проблемы может быть найден, но он снижает производительность в ущерб безопасности.
Призываем пользователей устройств Apple быть предельно осторожными.