אפל עדיין לא תיקנה פגיעות של WebKit הקיימת בiOSוmacOSלמרות שתיקון לפגם זמין במשך שבועות.
הפגיעות, שהתגלתה לראשונה על ידי חוקרי אבטחה בסטארטאפ אבטחת הסייבר Theori, נמצאת ביישום של AudioWorklets ב-WebKit. למרות שהבאג עלול לגרום לקריסות בספארי, Theori אומר שזה גםפגם מסוג בלבול שניתן לניצול.
הפגיעות נובעת מ-AudioWorklet, ממשק המאפשר למפתחים לשלוט, לרנדר ולהוציא אודיו. עם זאת, ניצול הפגם עלול לתת לתוקפים את אבני הבניין להפעיל קוד זדוני במכשירים.
מצד שני, שחקן גרוע עדיין יצטרך לעקוף קודי אימות מצביע, או PAC, כדי באמת להוציא מתקפה בעולם האמיתי. PAC היא מערכת הפחתה הדורשת חתימה קריפטוגרפית לפני שניתן לבצע קוד בזיכרון.
בנוסף, הפגםתוקןעל ידי מפתחי קוד פתוח בתחילת מאי. למרות זמינות התיקון, הפגיעות עדיין קיימת בגרסאות האחרונות של iOS ו-macOS, אמר חוקר Theori, טים בקר.
"באופן אידיאלי, חלון הזמן בין תיקון ציבורי למהדורה יציבה הוא קטן ככל האפשר. במקרה זה, גרסה חדשה שפורסמה של iOS נשארת פגיעה שבועות לאחר שהתיקון היה פומבי", כתב בקר.
לדברי בקר, היעדר תיקון הוא דוגמה ל"פער תיקון", שלדבריו מהווה סכנה משמעותית בפיתוח קוד פתוח.
לפי Project Zero של גוגל, היו בסך הכלשבע פגיעותבמערכות של אפל שנוצלו באופן פעיל בטבע מאז תחילת 2021. רבים מאותם פגמים שתוקנו כעתקיים ב- WebKit.
עקבו אחר כל הפרטיםשל WWDC 2021 עם המקיףAppleInsiderסיקור של כל האירוע בן השבוע מה-7 ביוני עד ה-11 ביוני, כולל פרטים על כל ההשקות והעדכונים החדשים.
הישאר מעודכן בכל החדשות של אפל ישירות ממךHomePod. אמור, "היי, סירי, שחק ב-AppleInsider," ותקבל את הפודקאסט העדכני ביותר של AppleInsider. או תשאל את שלךHomePod miniעבור "AppleInsider Daily" במקום זאת ותשמע עדכון מהיר ישירות מצוות החדשות שלנו. ואם אתה מעוניין באוטומציה ביתית ממוקדת אפל, אמור "היי, סירי, שחק את HomeKit Insider", ותקשיב לפודקאסט המיוחד החדש ביותר שלנו בעוד רגעים.
