Компания Apple выпустила исправления безопасности iOS 8.2 и Security Update 2015-002 для мобильных устройств на базе операционной системы iOS и ПК, работающих под управлением OS X. В обоих исправлениях устранен ряд критических брешей, в том числе недавно обнаруженная уязвимость FREAK.
Брешь, содержащаяся в протоколах SSL/TLS, позволяла злоумышленнику осуществлять перехват HTTPS-соединений и ослабить защиту шифрования, благодаря чему преступник мог похищать важные данные, такие как cookie-файлы и финансовую информацию. Уязвимость затрагивает браузер Safari для iOS и OS X, а также другие приложения компании, использующие SecureTransport.
Помимо вышеуказанной бреши была исправлена уязвимость “человек посередине” (CVE-2015-1065), обнаруженная специалистом ИБ-компании NowSecure Андреем Беленко. Эксплуатация бреши позволяла атакующему перехватывать соединения между Apple iCloud и машиной Mac под управлением Yosemite, а также выполнить вредоносный код на целовом компьютере или устройстве.
Также исправлена уязвимость (CVE-2015-1061), вызванная ошибкой, связанной с IOSurface и обработкой сериализированных объектов. Удаленный пользователь может выполнить произвольный код на целевой системе.
В iOS 8.2 дополнительно исправлены несколько уязвимостей для устройств на базе iOS (iPhone 4S и выше, 5 поколение iPod Touch и выше, а также iPad 2 и более новые версии), в том числе брешь CVE-2015-1062, позволяющая выполнить произвольный код на целевой системе и CVE-2015-1064, позволяющая пользователю создавать папки в доверенных директориях.
Security Update 2015-002 для OS X содержит исправления уязвимости FREAK, а также брешей в iCloud и IOSurface. Патч дополнительно содержит исправление проблемы (CVE-2015-1066) в инструменте IOAcceleratorFamily, позволяющей локальному пользователю повысить привилегии на целевой системе. (Apple/NovostIT)