تحديث Apple الضخم: Ventura Out و iOS و iPad kernel Zero-Day - ابدأ الآن! ذكاء بيانات PlatoBlockchain. البحث العمودي. عاي.

تحديث Apple الضخم: Ventura Out و iOS و iPad kernel Zero-Day - ابدأ الآن!

الطابع الزمني: 24 أكتوبر 2022 الساعة 7:03 مساءً

by
بول داكلين

وصلت أحدث مجموعة من تحديثات الأمان من Apple ، بما في ذلك التحديث الذي تم إطلاقه للتو مغامرة macOS 13التي كانت مصحوبة بمفردها نشرة الأمن سرد 112 ثغرة أمنية ضخمة مرقمة CVE.

من بين هؤلاء ، قمنا بإحصاء 27 ثغرة في تنفيذ التعليمات البرمجية التعسفية ، منها 12 تسمح بحقن التعليمات البرمجية الخادعة في النواة نفسها ، ويسمح أحدها بتشغيل كود غير موثوق به بامتيازات النظام.

علاوة على ذلك ، هناك نوعان من أخطاء رفع الامتياز (EoP) مدرجة في Ventura والتي نفترض أنه يمكن استخدامها مع بعض أو العديد أو كل أخطاء تنفيذ التعليمات البرمجية غير التابعة للنظام الأربعة عشر المتبقية لتشكيل سلسلة هجوم يحول استغلال تنفيذ التعليمات البرمجية على مستوى المستخدم إلى واحد على مستوى النظام.

iPhone و iPad في خطر حقيقي

ومع ذلك ، ليس هذا هو الجزء الأكثر أهمية في هذه القصة.

تذهب جائزة "الخطر الواضح والحاضر" إلى آيفون و iPadOS، التي الحصول على تحديث لإصدار 16.1 و 16 على التوالي ، حيث تسمح إحدى الثغرات الأمنية المدرجة بتنفيذ كود kernel من أي تطبيق ، ويتم استغلالها بالفعل.

باختصار ، تحتاج أجهزة iPhone و iPad إلى تصحيح على الفور بسبب ملف نواة الصفر اليوم.

لم تذكر Apple أي مجموعة جرائم إلكترونية أو شركة برامج تجسس تسيء استخدام هذا الخطأ ، المدبلج CVE-2022-42827، ولكن نظرًا للسعر المرتفع الذي تفرضه قيادة أيام الصفر على iPhone في عالم الفضاء الإلكتروني ، نفترض أن كل من يمتلك هذا الاستغلال [أ] يعرف كيفية جعله يعمل بشكل فعال و [ب] من غير المرجح أن يلفت الانتباه إليه بنفسه ، من أجل إبقاء الضحايا الموجودين في الظلام قدر الإمكان.

قامت شركة Apple بتوضيح ملاحظتها المعيارية المعتادة بشأن تأثير الشركة "على علم بتقرير يفيد بأنه قد تم استغلال هذه المشكلة بشكل نشط"، و هذا كل شيء.

نتيجة لذلك ، لا يمكننا تقديم أي نصيحة لك حول كيفية التحقق من وجود علامات هجوم على جهازك الخاص - لسنا على علم بأي مما يسمى IoCs (مؤشرات التسوية) ، مثل الملفات الغريبة في النسخة الاحتياطية ، أو تغييرات التكوين غير المتوقعة ، أو إدخالات ملف السجل غير المعتادة التي قد تتمكن من البحث عنها.

لذلك فإن توصيتنا الوحيدة هي حثنا المعتاد على التصحيح مبكرًا / التصحيح كثيرًا ، من خلال التوجه إلى الإعدادات > العلاجات العامة > والاختيار إذا لم تكن قد تلقيت الإصلاحات بالفعل.

لماذا تنتظر حتى يقوم جهازك بالعثور على التحديثات نفسها واقتراحها عندما يمكنك القفز إلى رأس قائمة الانتظار وجلبها على الفور؟

كاتالينا انخفض؟

كما قد تكون قد افترضت ، نظرًا لأن إصدار Ventura يأخذ نظام macOS إلى الإصدار 13 ، فإن نظام التشغيل macOS 10 Catalina المكون من ثلاثة إصدارات لا يظهر في القائمة هذه المرة.

عادةً ما توفر Apple تحديثات أمنية فقط للإصدارات السابقة والسابقة من macOS ، وهذه هي الطريقة التي يتم بها تشغيل التصحيحات هنا ، مع وجود تصحيحات يجب اتخاذها ماك 11 بيج سور لإصدار 11.7.1و macOS 12 مونتيري لإصدار 12.6.1.

ومع ذلك ، فإن هذه الإصدارات تحصل أيضًا على ملف تحديث منفصل عبارة عن رحلات السفاري 16.1، والذي يعمل على إصلاح العديد من الأخطاء التي تبدو خطيرة في Safari ومكتبة البرامج الأساسية WebKit.

تذكر أن WebKit لا يتم استخدامه فقط بواسطة Safari ولكن أيضًا من خلال أي تطبيقات أخرى تعتمد على رمز Apple الأساسي لعرض أي نوع من المحتوى المستند إلى HTML ، بما في ذلك أنظمة المساعدة و "حول الشاشات" و "minibrowsers" المضمنة ، والتي تُشاهد عادةً في الرسائل التطبيقات التي توفر خيارًا لعرض ملفات أو صفحات أو رسائل HTML.

تفاح ساعة و tvOS تحصل أيضًا على العديد من الإصلاحات ، ويتم تحديث أرقام الإصدارات الخاصة بها إلى ساعة 9.1 و tvOS 16.1 على التوالي.

ماذا ستفعلين.. إذًا؟

والخبر السار هو أن المطورين والمتبنين الأوائل هم فقط الذين من المحتمل أن يكونوا قد قاموا بتشغيل Ventura بالفعل ، كجزء من نظام Apple Beta البيئي.

يجب على هؤلاء المستخدمين التحديث في أسرع وقت ممكن ، دون انتظار تذكير النظام أو التحديث التلقائي لبدء التشغيل ، نظرًا للعدد الهائل من الأخطاء التي تم إصلاحها.

إذا لم تكن تستخدم Ventura ولكنك تنوي الترقية على الفور ، فستتضمن تجربتك الأولى للإصدار الجديد تلقائيًا 112 تصحيحات CVE المذكورة أعلاه ، وبالتالي فإن الإصدار ترقية سوف تشمل تلقائيا الأمن المطلوب التحديثات.

إذا كنت تخطط للالتزام بإصدار macOS السابق أو السابق لفترة من الوقت حتى الآن (أو إذا كان لديك ، مثلنا ، جهاز Mac قديم لا يمكن ترقيته) ، فلا تنس أنك بحاجة إلى تحديثين: واحد خاص بـ Big Sur أو Monterey ، والآخر تحديث لـ Safari وهو نفسه لكل من نكهات نظام التشغيل.

لتلخيص:

  • على نظام تشغيل iOS أو iPad ، استخدام على وجه السرعة الإعدادات > العلاجات العامة >
  • على macOS ، تستخدم قائمة التفاح > حول هذا ماك > تحديث النظام…
  • نظام التشغيل MacOS 13 فينتورا بيتا يجب على المستخدمين التحديث على الفور إلى الإصدار الكامل.
  • مستخدمو بيج سور ومونتيري الذين قاموا بالترقية إلى Ventura يحصلون على إصلاحات أمان macOS 13 في نفس الوقت.
  • ماك 11 بيج سور يذهب إلى 11.7.1و الاحتياجات رحلات السفاري 16.1 كذلك.
  • macOS 12 مونتيري يذهب إلى 12.6.1و الاحتياجات رحلات السفاري 16.1 كذلك.
  • ساعة يذهب إلى 9.1.
  • tvOS يذهب إلى 16.1.

لاحظ أن macOS 10 Catalina لا يحصل على تحديثات ، لكننا نفترض أن هذا هو نهاية الطريق لمستخدمي Catalina ، ليس لأنه لا يزال مدعومًا ولكنه محصن ضد أي من الأخطاء الموجودة في الإصدارات الأحدث.

إذا كنا على حق ، فإن مستخدمي Catalina الذين لا يستطيعون ترقية أجهزة Mac الخاصة بهم عالقون في تشغيل برامج Apple القديمة بشكل متزايد إلى الأبد ، أو التبديل إلى نظام تشغيل بديل مثل توزيعة Linux التي لا تزال مدعومة على أجهزتهم.

روابط سريعة لنشرات أمان Apple:

  • أبل-SA-2022-10-24-1: HT213489 لأنظمة iOS 16.1 و iPadOS 16
  • أبل-SA-2022-10-24-2: HT213488 لنظام التشغيل macOS Ventura 13
  • أبل-SA-2022-10-24-3: HT213494 لنظام التشغيل macOS Monterey 12.6.1
  • أبل-SA-2022-10-24-4: HT213493 لنظام التشغيل macOS Big Sur 11.7.1
  • أبل-SA-2022-10-24-5: HT213491 لنظام watchOS 9.1
  • أبل-SA-2022-10-24-6: HT213492 لنظام tvOS 16.1
  • أبل-SA-2022-10-24-7: HT213495 لسفاري 16.1

الطابع الزمني:

اكثر من الأمن عارية