Apple выпустила небольшое обновление iOS 14.4.2, iPadOS 14.4.2 и watchOS 7.3.3, которое блокирует «злонамеренно созданный веб-контент, приводящий к универсальному межсайтовому скриптингу». По словам представителей компании, данная уязвимость уже использовалась в реальных атаках. Аналогичный патч выпущен для версии iOS 12.5.2.

В список затронутых устройств входят:

• iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5 поколения и новее, iPad mini 4 и новее и iPod touch (7 поколения).

• iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).

• Apple Watch Series 3 и новее.

Чтобы установить обновление, нужно открыть системные настройки, перейти в раздел Общие > Обновление ПО.

Проблему удалось устранить путем улучшенного управления временем жизни объектов. Apple рекомендовала пользователям выполнить обновление как можно скорее.

Об уязвимости CVE-2021-1879 сообщили Клемент Лесин из Google Threat Analysis Group и Билли Леонард из Google Threat Analysis Group. Она содержалась в движке браузера Webkit.

Это второе обновление с момента выпуска iOS/iPadOS 14.4 и watchOS 7.3 в конце января. Предыдущий апдейт также содержал срочный патч для закрытия трех уязвимостей «нулевого дня». Две уязвимости были обнаружены в WebKit и ядре операционной системы. Некоторые успешные эксплойты использовали совокупность этих уязвимостей.

В феврале разработчик утилиты для взлома под ником Pwn20wnd представил новую версию unc0ver для iOS 12.4.9-12.5.1, 13.5.1-13.7 и 14.0-14.3. Она поддерживает все устройства Apple, включая линейку iPhone 12. Автор unc0ver 6.0.0 пояснял, что в утилите используются эксплойт собственной разработки на основе уязвимости CVE-2021-1782.