Уязвимости iOS: CVE, БДУ ФСТЭК и мониторинг
Уязвимости iOS из реестра БДУ ФСТЭК: 1 693 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости iOS из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 1 693.
BDU:2017-01034Уязвимость операционной системы Windows и пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код
BDU:2016-01146Уязвимость консольного графического редактора ImageMagick, позволяющая нарушителю выполнить произвольный код
BDU:2017-01681Уязвимость пакета программ Microsoft Office, позволяющая нарушителю внедрить произвольный код
BDU:2015-11341Уязвимость пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код
BDU:2017-01345Уязвимость пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код
BDU:2017-01346Уязвимость пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код
BDU:2021-05087Уязвимость операционных систем iPadOS, watchOS, iOS, Mac OS, вызванная целочисленным переполнением, позволяющая нарушителю выполнить произвольный код
BDU:2016-01573Уязвимость консольного графического редактора ImageMagick, позволяющая нарушителю удалить произвольные файлы
BDU:2016-00372Уязвимость программных платформ Flash Player и Adobe Integrated Runtime, позволяющая нарушителю выполнить произвольный код
BDU:2021-04938Уязвимость компонента WebKit операционной системы iOS, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Почему важно отслеживать уязвимости iOS
iOS — мобильная операционная система Apple для iPhone, всё чаще попадающая в корпоративный периметр через сценарии BYOD и MDM, где на устройствах обрабатываются персональные данные. Типовые векторы: use-after-free в ядре (CWE-416), запись за границами буфера (CWE-787), обход изоляции песочницы приложений. Apple выпускает исправления кумулятивными обновлениями iOS (например, 17.x), нередко закрывая уязвимости с признаками активной эксплуатации в дикой природе (KEV). Для устройств, обрабатывающих ПДн, приказ ФСТЭК №21 требует контроля защищённости мобильной среды, а приказ №117 задаёт SLA на устранение: CVSS 9.0+ — 24 часа, 7.0-8.9 — 7 дней. Отслеживайте CVE и записи БДУ ФСТЭК автоматически: SGRC-платформа КиберОснова сопоставляет реестр ИТ-активов с базой уязвимостей и ставит задачу с дедлайном ответственному.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей iOS
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.