Инженеры Apple сообщают, что экстренные обновления безопасности, выпущенные на этой неделе для устранения уже находящейся под атаками 0-day уязвимости, мешали отображению некоторых сайтов. В итоге RSR-патчи были отозваны.
Напомню, что ранее Apple обнародовала RSR-патчи (Rapid Security Response), исправляющие уязвимость нулевого дня (CVE-2023-37450), которая застрагивает пользователей iPhone, Mac и iPad. В компании предупреждали, что проблема, похоже, уже используется злоумышленникам.
Уязвимость была обнаружена в движке WebKit. Она позволяет злоумышленникам выполнять произвольный код на целевых устройствах, если злоумышленнику удастся обманом заставить цель открыть страницу, содержащую вредоносный контент.
Однако теперь разработчики Apple отозвали эти обновления. В компании не объяснили, что именно произошло, и почему некоторые сайты работали некорректно после установки патчей. Судя по всему, было нарушено обнаружение user-agent некоторых сервисов (например, Zoom, Facebook* и Instagram*), и в результате сайты стали отображать ошибки при использовании Safari.
К примеру, после применения обновлений на iOS-устройстве новым user agent, содержащим строку «(a)», становится Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1. Это не позволяло сайтам определить его как допустимую версию Safari и приводило к появлению ошибок «браузер не поддерживается».
«Apple известно о проблеме, из-за которой недавние Rapid Security Response могут мешать правильному отображению некоторых веб-сайтов, — сообщают в компании. — Для решения этой проблемы скоро будут доступны Rapid Security Response для iOS 16.5.1 (b), iPadOS 16.5.1 (b) и macOS 13.4.1 (b)».
Теперь компания советует пользователям, которые уже установили проблемные обновления, удалить их, если у них возникают проблемы при просмотре сайтов.
Отметим, что это не первые проблемы с RSR-патчами, возникшие у Apple. Выпуск первых «заплаток» такого рода тоже не совсем удался: в мае текущего года у некоторых пользователей возникли проблемы с установкой RSR-патчей на iPhone.
* Принадлежит Meta Platforms, деятельность которой признана экстремисткой и запрещена в России.
Источник: xakep