Компания Apple выпустила обновление для iOS, устранив две проблемы с блокировкой, позволявшие получить доступ к контактам, фото, email-сообщениям и номерам телефонов в обход парольной защиты.
Уязвимости обнаружил и доложил о них вендору независимый исследователь Хосе Родригес (Jose Rodriguez). Одна из них, CVE-2018-4379, затрагивает опцию Quick Look, с помощью которой можно просматривать документы даже в тех случаях, когда открытое приложение не поддерживает нужный формат.
Брешь CVE-2018-4380 связана с VoiceOver — специальной возможностью для людей с ограниченным зрением, позволяющей работать с iOS-гаджетом в голосовом сопровождении.
В обоих случаях эксплойт возможен лишь при наличии локального доступа к мобильному устройству и требует определенных усилий. Соответствующие демо-ролики Родригес выложил на YouTube.
Уязвимости актуальны для iPhone 5s и выше, iPad Air и новее, а также для iPod touch шестого поколения. Обе проблемы Apple решила, ограничив опции, доступные при наличии блокировки.
Патчи включены в состав обновления iOS 12.0.1, которое можно получить в автоматическом режиме. Установка вручную осуществляется через настройки выбором Software Update («Обновление ПО») или с помощью iTunes на настольном компьютере.
Одновременно Apple пропатчила клиент облачного сервиса iCloud для Windows, закрыв 19 уязвимостей. Тринадцать из них позволяют выполнить произвольный код и оценены как критические. Во избежание эксплойта пользователям рекомендуется установить новую сборку — 7.7.12.