Сегодня Apple выпустила iOS 15.2.1 и iPadOS 15.2.1 — незначительные обновления, включающие важное исправление безопасности для известной уязвимости HomeKit, обнаруженной в прошлом году.

Согласно документу поддержки безопасности Apple для данного обновления, устранена проблема, из-за которой специально разработанное имя HomeKit могло привести к отказу в обслуживании, что делало iPhone и iPad неработоспособными.

Apple заявляет, что причиной являлась проблема исчерпания ресурсов, которая теперь устранена путем улучшения проверки входных данных.

Об ошибке HomeKit впервые сообщили в январе в издании Bleeping Computer после того, как ее обнаружил Тревор Спиньолас. Уязвимость под названием «doorLock» активируется путем изменения имени устройства HomeKit на строку, состоящую из более чем 500 000 символов.

Попытка загрузить такую длинную строку символов приводит к тому, что устройство iOS переходит в состояние отказа в обслуживании, и единственным способом восстановления является принудительная перезагрузка. Перезагрузка устройства приводит к потере данных, если нет доступной резервной копии, а повторный вход в затронутую учетную запись iCloud, связанную с ошибочным именем устройства HomeKit, может повторно вызвать ошибку.

Apple частично исправила ошибку в iOS 15.1, ограничив длину имени, которое можно установить для устройства или приложения HomeKit, но полностью проблему не устранила, поскольку злоумышленники, использующие уязвимость, могли использовать приглашения Home вместо устройства для активации атаки.

Поскольку эта ошибка в худшем случае может привести к потере данных, а в лучшем — к сбросу устройства, рекомендуется незамедлительно обновиться до версий iOS и iPadOS 15.2.1.