Эксплойты были обнаружены в репозитории с открытым исходным кодом CocoaPods.
На протяжении 10 лет миллионы приложений для iPhone и Mac были уязвимы перед хакерами из-за критических брешей. Эксплойты обнаружили в репозитории с открытым исходным кодом CocoaPods, который используют многие популярные приложения для гаджетов Apple, говорится в отчете специалистов E.V.A Information Security.Первая уязвимость под обозначением CVE-2024-38368 была оценена в 9,3 балла по шкале CVSS. Она дает возможность злоумышленникам через процесс Claim Your Pods получить контроль над пакетами программного обеспечения. Атакующий для этого должен удалить всех предыдущих разработчиков из проекта. Проблема уходит корнями в 2014 год, когда тысячи пакетов оставила без владельцев миграция на сервер Trunk, это дало возможность недобросовестным пользователям использовать общедоступный API и адрес электронной почты для захвата контроля над ними.Вторая уязвимость, получившая максимальную оценку в 10 баллов, - CVE-2024-38366. Связана она с небезопасным механизмом верификации электронной почты. Это позволяет выполнять код на сервере и менять целевые пакеты.Третья уязвимость с названием CVE-2024-38367, имеющая оценку 8,2 балла, включает в себя манипуляцию с процессом верификации электронной почты, позволяя злоумышленникам для кражи токенов сессии перенаправлять запросы на вредоносные домены. Это приводит к атакам даже без каких-либо действий со стороны пользователя.На угрозы отреагировала команда CocoaPods, выпустив еще в октябре 2023 года патчи для устранения уязвимостей и проведя сброс сессий всех пользователей для предотвращения вероятных атак, но об этой ситуации стало известно только в начале июля.Фото ТЕЛЕПОРТ.РФ
