Выявлены две новые атаки спекулятивного выполнения, затрагивающие новейшие чипы Apple, согласно данным, опубликованным сегодня студентами Технологического института Джорджии, обнаружившими эти уязвимости.
Названные SLAP и FLOP, эти две уязвимости безопасности могут позволить злоумышленнику использовать вредоносную веб-страницу для шпионажа за содержимым других веб-страниц, предоставляя удаленный доступ к истории просмотров, данным кредитных карт, электронным письмам, информации о местоположении и многому другому. Физический доступ к устройству не требуется, и атака может быть выполнена через вредоносный сайт, который обходит защиту браузера Apple.
Затронуты несколько чипов Apple серий A и M, включая M2 и более новые, а также A15 и более новые, которые используются в следующих устройствах:
- Ноутбуки Mac 2022 года и новее
- Настольные компьютеры Mac 2023 года и новее
- Модели iPad 2021 года и новее
- iPhone 2021 года и новее
SLAP и FLOP были раскрыты Apple в мае 2024 года и сентябре 2024 года соответственно, и хотя эти атаки еще не были исправлены, исследователям, сообщившим о проблеме, было сказано, что Apple планирует устранить уязвимости в предстоящем обновлении безопасности.
Apple сообщила Bleeping Computer, что она еще не исправила эти уязвимости. «Мы хотим поблагодарить исследователей за их сотрудничество, поскольку это доказательство концепции расширяет наше понимание угроз такого типа, — заявили в Apple. — Основываясь на нашем анализе, мы не считаем, что эта проблема представляет непосредственную угрозу для наших пользователей».
SLAP затрагивает Safari, тогда как FLOP затрагивает Safari и Chrome. Другие браузеры, такие как Firefox, также могут быть затронуты, но не были протестированы. Нет доказательств того, что SLAP и FLOP были реализованы на практике.
Подробности о работе SLAP и FLOP можно найти на веб-сайте, посвященном объяснению этих уязвимостей.
