Производитель решений безопасности Malwarebytes раскритиковал компанию Apple за непоследовательный процесс выпуска исправлений и заявил, что ее безответственное поведение уже привело к печальным последствиям.

В блоге Malwarebytes глава подразделения по безопасности Mac и мобильных устройств Томас Рид (Thomas Reed) напомнил о вредоносной кампании в Гонконге, в ходе которой хакеры атаковали посетителей продемократических сайтов через уязвимости в macOS.

В атаках использовалась связка из двух уязвимостей в macOS – выполнение удаленного кода в WebKit ( CVE-2021-1789 ) и повышение привилегий в XNU ( CVE-2021-30869 ). Заражавший компьютеры троян используется еще с 2019 года, но практически не детектируется решениями безопасности, сообщил Рид.

Обе уязвимости были исправлены в macOS Big Sur 11.2, вышедшей 1 февраля 2021 года. Big Sur на то время являлся последним крупным выпуском macOS. Для пользователей macOS Catalina и Mojave, однако, дела обстояли иначе.

В Catalina 10.15 и Mojave 10.14 уязвимость CVE-2021-1789 исправлялась только в случае, если пользователи обновляли браузер Safari до версии 14.0.3. Тем не менее, уязвимость CVE-2021-30869 оставалась неисправленной в Catalina до 23 сентября.

«Эта же уязвимость, очевидно, присутствовала и в Catalina и оставалась неисправленной в течение семи месяцев после того, как Apple выпустила патч для Big Sur, и более пяти месяцев после того, как подробности о ней были раскрыты на Zer0con. Это позволило злоумышленникам атаковать пользователей Catalina и Safari 13, оставаясь необнаруженными», — сообщил Рид.

По словам специалиста, непонятно, почему в сопроводительной документации к релизу 1 февраля исправление для CVE-2021-30869 не упоминалось вовсе, а было добавлено в самый конец только после выхода исправления для Catalina.

Как заявил Рид, позднее внесение исправлений в Catalina «совершенно ясно» показывает, что «на Apple можно положиться только при исправлении самой последней версии macOS, которой в настоящее время является macOS Monterey (12)».

«Если вы используете старую систему, вы делаете это на свой страх и риск», — заявил Рид.

Источник: securitylab.ru