Apple отозвала экстренные патчи для 0-day уязвимости: они блокировали работу сайтов

Инженеры Apple сообщают, что экстренные обновления безопасности, выпущенные на этой неделе для устранения уже находящейся под атаками 0-day уязвимости, мешали отображению некоторых сайтов. В итоге RSR-патчи были отозваны.

Напомню, что ранее Apple обнародовала RSR-патчи (Rapid Security Response), исправляющие уязвимость нулевого дня (CVE-2023-37450), которая застрагивает пользователей iPhone, Mac и iPad. В компании предупреждали, что проблема, похоже, уже используется злоумышленникам.

Уязвимость была обнаружена в движке WebKit. Она позволяет злоумышленникам выполнять произвольный код на целевых устройствах, если злоумышленнику удастся обманом заставить цель открыть страницу, содержащую вредоносный контент.

Однако теперь разработчики Apple отозвали эти обновления. В компании не объяснили, что именно произошло, и почему некоторые сайты работали некорректно после установки патчей. Судя по всему, было нарушено обнаружение user-agent некоторых сервисов (например, Zoom, Facebook* и Instagram*), и в результате сайты стали отображать ошибки при использовании Safari.

К примеру, после применения обновлений на iOS-устройстве новым user agent, содержащим строку «(a)», становится Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1. Это не позволяло сайтам определить его как допустимую версию Safari и приводило к появлению ошибок «браузер не поддерживается».

Теперь компания советует пользователям, которые уже установили проблемные обновления, удалить их, если у них возникают проблемы при просмотре сайтов.

Отметим, что это не первые проблемы с RSR-патчами, возникшие у Apple. Выпуск первых «заплаток» такого рода тоже не совсем удался: в мае текущего года у некоторых пользователей возникли проблемы с установкой RSR-патчей на iPhone.

* Принадлежит Meta Platforms, деятельность которой признана экстремисткой и запрещена в России.

Источник: Хакер