Перейти к содержанию

Почему нужно срочно обновить iOS и iPadOS до версии 14.4

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Компания Apple выпустила обновление, закрывающее три уязвимости нулевого дня: CVE-2021-1780, CVE-2021-1781, CVE-2021-1782. Есть предположение, что эти уязвимости уже эксплуатируют злоумышленники. Всем пользователям современных iOS и iPadOS рекомендуется срочно обновить операционные системы.

В чем суть уязвимостей и чем они опасны

CVE-2021-1780 и CVE-2021-1781 — уязвимости в движке WebKit, на базе которого, например, построен штатный браузер Safari. По словам представителей Apple, обе они могут привести к исполнению постороннего кода на устройстве.

Следует помнить, что даже при наличии в системе другого браузера движок Safari могут вызывать другие приложения. Так что даже если вы предпочитаете посещать веб-страницы через стороннее приложение, это вас не спасет. Опасно само наличие уязвимого движка в системе.

CVE-2021-1782 — уязвимость в ядре системы. Apple описывает ее как ошибку, вызывающую «состояние гонки», которое потенциально можно использовать для повышения привилегий какого-либо процесса.

По имеющейся у компании информации, все три уязвимости уже могут эксплуатировать преступники. Возможно, злоумышленники используют эти уязвимости в связке, однако подробности пока неизвестны. Из соображений защиты пользователей Apple не разглашает деталей до окончания подробного расследования. В базе данных CVE на страницах этих уязвимостей также пока нет точной информации.

Как защититься

  • Как можно скорее обновите iOS и iPadOS до 14.4 на всех iPad и iPhone, которые поддерживают эту версию. По данным на сайте Apple, обновления доступны для iPhone начиная с модели 6s, iPad Air начиная со второй версии, iPad mini начиная с четвертой, а также для iPod touch седьмого поколения.
  • Судя по всему, стартовой точкой для атаки служат уязвимости в WebKit — движке используемого по умолчанию браузера Поэтому будет разумно на устаревшие устройства, которые не могут обновиться до iOS/iPadOS 14.4, установить какой-нибудь другой браузер и назначить его браузером по умолчанию. Например, для iOS 11 и новее подойдут Firefox, Яндекс.Браузер и DuckDuckGo, для iOS 12 и новее — Google Chrome.

View the full article

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Срочно обновите Microsoft SharePoint | Блог Касперского
      Автор KL FC Bot
      Неизвестные злоумышленники активно атакуют серверы организаций, на которых установлены SharePoint Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Благодаря эксплуатации цепочки из двух уязвимостей — CVE-2025-53770 (рейтинг CVSS — 9.8) и CVE-2025-53771 (рейтинг CVSS — 6,3), атакующие получают возможность запустить на сервере вредоносный код. Об опасности ситуации говорит тот факт, что патчи для уязвимостей были выпущены Microsoft поздно вечером в воскресенье. Для защиты инфраструктуры исследователи рекомендуют как можно скорее установить обновления.
      Суть атаки через CVE-2025-53770 и CVE-2025-53771
      Эксплуатация этой пары уязвимостей позволяет неаутентифицированным атакующим захватить контроль над серверами SharePoint, а следовательно, не только получить доступ ко всей хранящейся на них информации, но и использовать серверы для развития атаки на остальную инфраструктуру.
      Исследователи из EYE Security утверждают, что еще до публикации бюллетеней от Microsoft видели две волны атак при помощи этой цепочки уязвимостей, в результате которых были скомпрометированы десятки серверов. Атакующие устанавливают на уязвимые серверы SharePoint веб-шеллы, а также похищают криптографические ключи, которые позднее могут позволить им выдавать себя за легитимные сервисы или пользователей. Благодаря этому они смогут получить доступ к скомпрометированным серверам даже после того, как уязвимость будет закрыта, а зловреды уничтожены.
       
      View the full article
    • Макар мухаметсабиров
      Необходима срочная помощь
      Автор Макар мухаметсабиров
    • di.mailovich
      Почему в премиум версии Касперского для Андройд нет файерволла
      Автор di.mailovich
      Добрый день
      Обратил внимание что некоторые вендоры отказались от файерволла на Андройд в премиум версиях даже те у кого он был (аваст например) 
      Поясните пожалуйста вашу позицию. 
      Может быть бесполезность его без рут прав, или сложность установки правил для обычных пользователей или потому что толку от него нет кроме как резать рекламу блокируя выход в интернет некоторым приложениям или особенность именно операционной системы Андройд в которой нет острой необходимости в такой программе ? 
    • KL FC Bot
      Срочно обновите PyTorch | Блог Касперского
      Автор KL FC Bot
      Исследователь обнаружил уязвимость в PyTorch, фреймворке машинного обучения с открытым исходным кодом. Уязвимость, зарегистрированная под номером CVE-2025-32434, относится к классу Remote Code Execution (RCE) и имеет рейтинг 9,3 по шкале CVSS, то есть категорируется как критическая. Эксплуатация CVE-2025-32434 при определенных условиях позволяет злоумышленнику запускать на компьютере жертвы, скачивающей ИИ-модель произвольный код. Всем, кто использует PyTorch для работы с нейросетями, рекомендуется как можно скорее обновить фреймворк до последней версии.
      Суть уязвимости CVE-2025-32434
      Фреймворк PyTorch, помимо всего прочего, позволяет сохранять уже обученные модели в файл, который хранит веса связей. И, разумеется, загружать их при помощи функции torch.load(). Обученные модели часто выкладываются в общий доступ через разнообразные публичные репозитории и теоретически в них могут быть вредоносные закладки. Поэтому официальная документация проекта в целях безопасности рекомендует использовать функцию torch.load() с параметром weights_only=True (в таком случае загружаются только примитивные типы данных: словари, тензоры, списки, и так далее).
      Уязвимость CVE-2025-32434 заключается в некорректно реализованном механизме десериализации при загрузке модели. Обнаруживший ее исследователь продемонстрировал, что атакующий может создать файл модели таким способом, что параметр weights_only=True приведет к прямо противоположному эффекту — при загрузке будет выполнен произвольный код, способный скомпрометировать среду, в котором запускается модель.
       
      View the full article
    • VNDR
      Вымогальщик. Нужна помощь с расшифровкой.
      Автор VNDR
      Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.
      Файлы прикладываю.
      Просим помощи!
      HowToRestoreFiles.txt Новая папка (4).rar
×
×
  • Создать...