Firma potwierdziła w poniedziałek, że jej urządzenia są dotknięte luką umożliwiającą zdalne wykonanie złośliwego kodu za pośrednictwem JavaScriptu opartego na sieci. Ta luka otwiera wektor ataku, który może prowadzić do kradzieży danych związanych z kryptowalutami od niczego niepodejrzewających użytkowników.
Zgodnie z najnowszym ujawnieniem bezpieczeństwa Apple, użytkownicy muszą zaktualizować swoje oprogramowanie JavaScriptCore i WebKit do najnowszych wersji, aby załatać problem. Odkryty przez badaczy z grupy analizy zagrożeń Google, ta luka umożliwia "przetwarzanie złośliwie skonstruowanej zawartości internetowej", co prowadzi do "ataków typu cross-site scripting". Alarmującym faktem jest również to, że Apple przyznało, iż problem "mógł być aktywnie wykorzystywany na systemach Mac opartych na procesorach Intel."
Apple wydało podobne ujawnienie bezpieczeństwa dla użytkowników iPhone'ów i iPadów, stwierdzając, że luka w JavaScriptCore umożliwia "przetwarzanie złośliwie skonstruowanej zawartości internetowej, co może prowadzić do wykonania dowolnego kodu." Innymi słowy, hakerzy mogą potencjalnie przejąć kontrolę nad iPhone'ami lub iPadami użytkowników, jeśli odwiedzą złośliwe strony. Apple zapewniło użytkowników, że aktualizacje powinny rozwiązać ten problem.
Jeremiah O’Connor, CTO i współzałożyciel firmy zajmującej się cyberbezpieczeństwem kryptowalut Trugard, ostrzegł, że "napastnicy mogą uzyskać dostęp do wrażliwych danych, takich jak klucze prywatne czy hasła przechowywane w przeglądarkach", co potencjalnie może prowadzić do kradzieży aktywów kryptograficznych, jeśli urządzenia użytkowników pozostaną niezałatane.
Na początku marca pojawiły się doniesienia, że badacze bezpieczeństwa znaleźli luki w chipach poprzedniej generacji Apple (seria M1, M2 i M3). Te wady mogą umożliwić hakerom wydobycie kluczy kryptograficznych.
Luka wykorzystuje technikę zwaną "prefetching", funkcję w chipach M firmy Apple zaprojektowaną w celu przyspieszenia interakcji z urządzeniami firmy. Prefetching może przechowywać wrażliwe dane w pamięci podręcznej procesora, umożliwiając napastnikom odzyskanie tych informacji w celu rekonstrukcji kluczy kryptograficznych, które powinny pozostać niedostępne.
Niestety, według Ars Technica, stanowi to poważny problem dla użytkowników Apple, ponieważ luki na poziomie chipów nie mogą być naprawione za pomocą aktualizacji oprogramowania.