Индийское правительство бьёт тревогу: в Windows, Android, iPhone и iPad присутствуют активные уязвимости, которые «используются в настоящее время»
Индийское правительство выпустило предупреждение об уязвимостях в экосистеме программного обеспечения Apple, ОС Windows и мобильной ОС Android.
Как сообщает официальное подразделение по информационной безопасности CERT-In (Computer Emergency Response Team) эти уязвимости, если их не устранить, могут быть использованы хакерами для получения удаленного доступа к устройствам.
Организация советует пользователям обновить iPhone, iPad, ноутбуки и настольные ПК с Windows, а также смартфоны на основе Android до последней доступной версии. Apple и Google уже выпустили программные исправления, а Microsoft заявила, что уязвимость до сих пор не использовалась.
В заявлении CERT-In говорится, что операционная система для iPhone и iPad имеет уязвимость нулевого дня, связанную с повреждением данных в памяти, что активно используется злоумышленниками для получения повышенных прав в системе. Проблема затрагивает все iPhone, начиная с модели iPhone 6s, iPad Pro (все модели), iPad Air 2 и iPad 5-го поколения и более поздние модели, iPad mini 4 и более поздние модели и iPod touch (7-го поколения). Apple выпустила исправляющие эту ошибку версии iOS 14.7.1 и iPadOS 14.7.1.
Пользователей Android CERT-In предупреждает о «подводном камне» в приложения Signal. Согласно организации, приложение уязвимо для отправки получателю случайных изображений, помимо выбранных, нарушая таким образом конфиденциальность отправителя. Signal утверждает, что проблема была устранена в последнем обновлении — Signal Version 5.17.3 для Android.
В отношении Windows индийское правительство обеспокоено уязвимостью, которая позволяет злоумышленнику получить повышенные права системе. Проблема затрагивает множество вариаций Windows 10 от версии 1809 до новейшей 21H1 и версий для серверов. Microsoft уже зарегистрировала эту уязвимость, получившую высокий рейтинг опасности и номер CVE-2021-36934. Компания пока только готовит выпустит обновление для исправления ошибки, но отмечает, что уязвимость в реальной жизни злоумышленниками не использовалась.