Czasami w zwykłym oprogramowaniu, a takim jest przeglądarka, zdarzają się tak bardzo poważne błędy w zabezpieczeniach, że aż trudno w to uwierzyć. Jeżeli nie zaktualizowaliście swoich urządzeń Apple do najnowszej wersji 11.4 lub nie zaktualizowaliście innych produktów Apple, to zróbcie to tak szybko, jak to tylko możliwe. Podatność CVE-2018-4192 pozwala na zdalne wykonanie kodu za pomocą jednego kliknięcia myszą na zainfekowanej stronie internetowej. Oprócz całego systemu podatne są inne produkty wykorzystujące silnik WebKit do wyświetlania stron internetowych w różnym oprogramowaniu (niekoniecznie w przeglądarce). Czyli podatne są aplikacje:
- Safari przed wersją 11.1.1.
- iCloud dla Windowsa przez wersją 7.5.
- iTunes dla Windowsa przed wersją 12.7.5.
- tvOS starszy niż 11.4.
- watchOS starszy niż 4.3.1.
Problem dotyczy użytkowników urządzeń Apple i użytkowników korzystających z oprogramowania Apple na Windows. Atakujący, jeśli podstawi ofierze kod JavaScript na spreparowanej stronie internetowej (co jest banalnie proste), link w oprogramowaniu lub w link w wiadomości e-mail, będzie mógł wykraść informacje, wykonać atak DoS, wykonać dowolny kod (lub wszystko jednocześnie) z uprawnieniami roota / administratora po ucieczce złośliwego kodu z piaskownicy przeglądarki lub z oprogramowania wykorzystującego komponent WebKit.
Markus Gaasedelen, Nick Burnett i Patrick Biernat z firmy Ret2 Systems w ramach programu „Zero Day Initiative” firmy Trend Micro zaprezentowali podatność CVE-2018-4192 na konferencji Pwn2Own 2018 w czerwcu 2018 roku. Luka jest prosta do wykorzystania, ale złośliwy kod nie działa za każdym razem. Na 1000 wykonanych prób uruchomienia explita 95% przypadków zakończyło się sukcesem. Na konferencji w zaprezentowanym ataku exploit zadziałał 3 razy na 4 próby.
Urządzenia Apple z systemem w wersji 11.4 i wskazane wyżej aplikacje nie są już podatne na ten atak (pod warunkiem, że zostały zaktualizowane).
