Apple обвинили в дискриминации пользователей более старых версий macOS
Производитель решений безопасности Malwarebytes раскритиковал компанию Apple за непоследовательный процесс выпуска исправлений и заявил, что ее безответственное поведение уже привело к печальным последствиям.
В блоге Malwarebytes глава подразделения по безопасности Mac и мобильных устройств Томас Рид (Thomas Reed) напомнил о вредоносной кампании в Гонконге, в ходе которой хакеры атаковали посетителей продемократических сайтов через уязвимости в macOS.
В атаках использовалась связка из двух уязвимостей в macOS - выполнение удаленного кода в WebKit ( CVE-2021-1789 ) и повышение привилегий в XNU ( CVE-2021-30869 ). Заражавший компьютеры троян используется еще с 2019 года, но практически не детектируется решениями безопасности, сообщил Рид.
Обе уязвимости были исправлены в macOS Big Sur 11.2, вышедшей 1 февраля 2021 года. Big Sur на то время являлся последним крупным выпуском macOS. Для пользователей macOS Catalina и Mojave, однако, дела обстояли иначе.
В Catalina 10.15 и Mojave 10.14 уязвимость CVE-2021-1789 исправлялась только в случае, если пользователи обновляли браузер Safari до версии 14.0.3. Тем не менее, уязвимость CVE-2021-30869 оставалась неисправленной в Catalina до 23 сентября.
"Эта же уязвимость, очевидно, присутствовала и в Catalina и оставалась неисправленной в течение семи месяцев после того, как Apple выпустила патч для Big Sur, и более пяти месяцев после того, как подробности о ней были раскрыты на Zer0con. Это позволило злоумышленникам атаковать пользователей Catalina и Safari 13, оставаясь необнаруженными", - сообщил Рид.
По словам специалиста, непонятно, почему в сопроводительной документации к релизу 1 февраля исправление для CVE-2021-30869 не упоминалось вовсе, а было добавлено в самый конец только после выхода исправления для Catalina.
Как заявил Рид, позднее внесение исправлений в Catalina "совершенно ясно" показывает, что "на Apple можно положиться только при исправлении самой последней версии macOS, которой в настоящее время является macOS Monterey (12)".
"Если вы используете старую систему, вы делаете это на свой страх и риск", - заявил Рид.