Updates zu Apples Zero-Day-Update-Story – iPhone- und iPad-Benutzer lesen dies!

Regelmäßige Leser werden zwei Dinge über unsere Einstellung zu Apples Sicherheitspatches wissen:

• Wir möchten sie so schnell wie möglich besorgen. Egal, ob es sich um ein Vollversions-Upgrade handelt, das auch eine Reihe von Sicherheitskorrekturen enthält, oder um ein Point-Release (eines, bei dem sich die Versionsnummer ganz links nicht ändert) mit dem Hauptzweck, Fehler zu beheben, anstatt neue Funktionen hinzuzufügen, wir würden uns lieber irren die Seite, bekannte Sicherheitsfixes anzuwenden, als unsere Geräte mit Löchern zu belassen, die Angreifer jetzt kennen, auch wenn sie noch nicht wissen, wie sie sie ausnutzen können.
• Dennoch finden wir die Bulletins von Apple sehr häufig verwirrend. Zum Beispiel weißt du nie genau, wo du stehst, wenn du an einer Version feststeckst, die dieses Mal kein Update bekommen hat.

Apples neueste Sicherheitsbulletins, die herauskamen Anfang dieser Woche, scheinen ein Beispiel dafür zu sein, wie das Unternehmen manchmal die Verwirrung zu steigern scheint, indem es zu wenig sagt … was nicht immer eine glückliche Alternative ist, um zu viel herauszufinden:

Aufkommende Verwirrung

Basierend auf den Anfragen und Kommentaren, die wir in den letzten Tagen von Lesern erhalten haben, ist folgende Verwirrung entstanden:

• Warum wurden in einem einzigen Sicherheitsbulletin Updates mit den Namen iOS 16.1 und iPadOS 16 beschrieben? Wir wissen, dass iPadOS 16 verzögert wurde, also bedeutete dieses kürzliche Update, dass iPadOS jetzt nur noch auf die gleiche Sicherheitsstufe wie iOS 16 gepatcht wurde, das vor mehr als einem Monat herauskam, während iOS auf 16.1 vorrückte, wodurch iPadOS mehr als übrig blieb fünf Wochen in Sachen Cybersicherheit hinterher?
• Warum hat sich iPadOS 16 letztendlich als Version 16.1 gemeldet? (Danke an Stefaan aus Belgien, der Screenshots seines iPad-Update-Vorgangs gemacht und eingeschickt hat.) Nach dem Update wird die About Bildschirm sagt anscheinend iPadOS 16, wie das Sicherheitsbulletin tat, während der iPadOS Version Bildschirm sagt ausdrücklich 16.1. Es hört sich so an, als ob iPhones und iPads jetzt nicht nur beide „die als 16 bekannte Versionsfamilie“ unterstützen, sondern auch beide die allerneuesten Sicherheitsfixes haben, also warum nicht einfach überall beide Version 16.1 nennen, auch im Security Bulletin und auf der About Bildschirm?
• Wo ist macOS 10 Catalina geblieben? Traditionell stellt Apple die Unterstützung für macOS Version X-3 ein, wenn Version X herauskommt, aber ist dies die eigentliche Erklärung dafür, warum macOS 11 Big Sur und macOS 12 Monterey (Versionen X-2 bzw. X-1) Updates erhalten haben, während Catalina dies nicht getan hat? t?
• Was ist mit iOS/iPadOS 15.7.1 passiert? Wenn iOS 16 kam im September 2022 erhielt auch die vorherige Versionsfamilie wichtige Updates und brachte sie auf Version 15.7. Dies beinhaltete einen kritischen Fix, um a zu schließen Zero-Day-Loch auf Kernel-Ebene unter aktiver Ausbeutung, was oft übersetzt wird als „jemand da draußen schleicht Spyware auf iPhones, Leute“. Angesichts der Tatsache, dass iOS 16.1 enthalten ist noch ein anderer Kernel-Zero-Day-Fix, der vielleicht einen Weg versperrt, der von noch mehr Spyware ausgenutzt wird, wo war der entsprechende Patch für die iOS/iPadOS 15-Familie, von der Sie analog annehmen würden, dass es 15.7.1 wäre?

Wie gesagt in der Podcast von gestern, konfrontiert mit der vierten Frage oben von einem besorgten Leser, war unsere kurze Antwort einfach: „DUCK: Weiß nicht./DOUG: Klar wie Schlamm.“

Manchmal gelten Sicherheitsfehler in Betriebssystemversion X einfach nicht für Version X-1, weil die Fehler beispielsweise in Code vorhanden sind, der in neueren Releases hinzugefügt oder nur gefährdet wurde.

Aber wir haben auch gesehen, dass Apple aus zwei anderen Gründen keine Updates für frühere Versionen erstellt hat, entweder [a] weil ein Update wirklich benötigt wird, sich aber als zu schwierig herausstellte, um es rechtzeitig fertigzustellen und zu testen, oder [b] weil Die vorherige Version galt nun als nicht mehr unterstützt und würde kein Update erhalten, ob erforderlich oder nicht.

Und da Apple Security Bulletins fast immer nur über aktuell verfügbare Patches informieren, bleiben fehlende Updates regelmäßig ein ungeklärtes (und unerklärliches) Rätsel.

Eine Explosion von Bulletins

Nun, heute Morgen haben wir eine Explosion von 15 E-Mails mit Sicherheitsbulletins von Apple erhalten, von denen die meisten viele der CVE-nummerierten Bugs und Sicherheitsprobleme auflisten, die in den Bulletins gemeldet wurden, die wir bereits Anfang der Woche gesehen hatten.

Keiner von ihnen hat die ersten drei obigen Fragen direkt geklärt, obwohl wir jetzt davon ausgehen, dass der Grund dafür, dass Apple sowohl von „iPadOS 16“ als auch von „iPadOS 16.1“ sprach, ein möglicherweise fehlgeleiteter Versuch war, die Information zu vermitteln, dass iPadOS jetzt verspätet sein würde mehr Stunden zur Versionsfamilie 16 sowie zum Erhalten einer Aktualisierung Äquivalent in Sicherheitsfixes zum neuen iOS 16.1.

Aber das allererste Bulletin in der neuesten Salve von Apple löste die letzte oben aufgeführte Frage, indem es iOS/iPadOS 15.7.1 ankündigte, das sich als a kritische Lösung:

APPLE-SA-2022-10-27-1: iOS 15.7.1 und iPadOS 15.7.1 iOS 15.7.1 und iPadOS 15.7.1 behebt die folgenden Probleme. Informationen zum Sicherheitsinhalt finden Sie auch unter https://support.apple.com/HT213490. [. . .] Kernel Verfügbar für: iPhone 6s und höher, iPad Pro (alle Modelle), iPad Air 2 und höher, iPad 5. Generation und höher, iPad mini 4 und höher und iPod touch (7. Generation) Auswirkungen: Eine Anwendung kann möglicherweise um beliebigen Code mit Kernel-Privilegien auszuführen. Apple ist ein Bericht bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde. Beschreibung: Ein Schreibproblem außerhalb der Grenzen wurde durch eine verbesserte Überprüfung der Grenzen behoben. CVE-2022-42827: ein anonymer Forscher

Also, iOS/iPadOS 15 wird immer noch unterstützt, und wenn Sie nicht in den sauren Apfel beißen und Anfang der Woche auf iOS 16.1 (oder auf das schismisch benannte iPadOS 16-das-auch-16.1 ist) upgraden …

…dann sollten Sie sich vergewissern erhalten Sie sofort iOS/iPadOS 15.7.1, weil die in iOS 2022 behobene Kernel-Zero-Day-Lücke CVE-42827-16.1 genau dort in iOS/iPadOS 15.7 vorhanden ist und aktiv ausgenutzt wird.

Das war also einer der Fälle, wo der Grund für das fehlende Update vor ein paar Tagen ziemlich sicher einfach darin bestand, dass die Patches nicht rechtzeitig fertig waren.

Was ist zu tun?

TL;DR, wenn Sie ein iPhone- oder iPad-Benutzer sind: Wenn Sie noch iOS/iPadOS Hauptversion 15 verwenden, gehen Sie zu Einstellungen  > Allgemeines > Sicherheitsupdate jetzt sofort.

Überprüfen Sie auch, ob Sie automatische Updates aktiviert haben, und denken Sie daran, den Download nicht nur zu genehmigen, wenn Sie ihn noch nicht haben, sondern Ihr Gerät auch durch die Installationsphase zu zwingen, die einen oder mehrere Neustarts erfordert (und nehmen Sie Ihr Telefon oder Tablet natürlich für eine Weile offline).

TL; DR, wenn Sie Apple sind: Etwas mehr Klarheit würde in Sicherheitsbulletins viel bewirken, insbesondere wenn Sie wissen, dass ein kritisches Update den Benutzern früherer Versionen die Flügel gibt oder dass sie kein Update benötigen, da ihre Version nicht betroffen ist.

Übrigens, wenn Sie sich Anfang dieser Woche entschieden haben, zu iOS/iPadOS 16.1 zu springen, nur um sicherzugehen …

…Sie können jetzt nicht zu iOS/iPadOS 15.7.1 zurückkehren, da Apple keine Downgrades zulässt.

(Downgrades erleichtern das Jailbreaking, das Apple verhindern möchte, und würden in jedem Fall zuerst eine vollständige Datenlöschung erfordern, um zu verhindern, dass ein Downgrade als böswillige „Bring your own bug“-Sicherheitsumgehung verwendet wird, um persönliche Informationen herauszufiltern.)

---