ΤΡΑΓΟΥΔΗΣΕ ΕΝΑ ΤΡΑΓΟΥΔΙ ΑΠΟ SUPERCOOKIES
Θυμόμαστε τον κανόνα της διαφάνειας. Αυτό που εσύ πρέπει να ξέρετε σχετικά με το Patch Tuesday. Σούπερ μπισκότο αηδίες παρακολούθησης. Όταν σφάλματα φτάνουν ανά δύο. Η Apple είναι γρήγορη Κηλίδα που χρειαζόταν ένα γρήγορο Κηλίδα. User-Agent θεωρείται επιβλαβής.
Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.
Με τους Doug Aamoth και Paul Ducklin. Intro και outro μουσική από Edith Mudge.
Μπορείτε να μας ακούσετε στο SoundCloud, Apple Podcasts, Podcasts Google, Spotify και οπουδήποτε υπάρχουν καλά podcast. Ή απλά ρίξτε το URL της ροής RSS μας στο αγαπημένο σας podcatcher.
ΔΙΑΒΑΣΤΕ ΤΟ ΜΕΤΑΓΡΑΦΟ
ΖΥΜΗ. Ενημερωμένη έκδοση κώδικα Apple έκτακτης ανάγκης, υπολογιστές με γκάζι και ΓΙΑΤΙ ΔΕΝ ΜΠΟΡΩ ΝΑ ΣΥΝΕΧΙΣΩ ΝΑ ΧΡΗΣΙΜΟΠΟΙΩ ΤΑ WINDOWS 7;
Όλα αυτά και πολλά άλλα στο podcast του Naked Security.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
Καλώς ήρθατε στο podcast, όλοι.
Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.
Παύλο, πώς τα πας;
ΠΑΠΙΑ. Λοιπόν, τρόμαξα λίγο, Νταγκ.
Ήσασταν πολύ δραματικοί σχετικά με την ανάγκη να συνεχίσετε να χρησιμοποιείτε τα Windows 7!
ΖΥΜΗ. Λοιπόν, όπως πολλοί άνθρωποι, είμαι θυμωμένος γι 'αυτό (αστείο!), και θα το συζητήσουμε σε λίγο.
Αλλά πρώτα, ένα πολύ σημαντικό Αυτή η εβδομάδα στην ιστορία της τεχνολογίας τμήμα.
Η 11η Ιουλίου 1976 σηματοδότησε την τελευταία αναπνοή για ένα άλλοτε κοινό εργαλείο μαθηματικών υπολογισμών.
Αναφέρομαι φυσικά στον κανόνα της διαφάνειας.
Το τελικό μοντέλο παραγωγής των ΗΠΑ, ένα Keuffel & Esser 4081-3, παρουσιάστηκε στο Ίδρυμα Smithsonian, σηματοδοτώντας το τέλος μιας μαθηματικής εποχής…
…μια εποχή που έγινε ξεπερασμένη από υπολογιστές και αριθμομηχανές όπως το αγαπημένο του Paul, το HP-35.
Λοιπόν, Paul, πιστεύω ότι έχετε αίμα στα χέρια σας, κύριε.
ΠΑΠΙΑ. Δεν είχα ποτέ HP-35.
Πρώτον, ήμουν πολύ νέος και, δεύτερον, ήταν 395 $ το καθένα όταν μπήκαν.
ΖΥΜΗ. [ΓΕΛΙΑ] Ουάου!
ΠΑΠΙΑ. Χρειάστηκαν λοιπόν άλλα δύο χρόνια για να καταρρεύσουν οι τιμές, καθώς μπήκε ο νόμος του Μουρ.
Και τότε οι άνθρωποι δεν ήθελαν να χρησιμοποιούν πλέον κανόνες διαφανειών.
Ο μπαμπάς μου μου έδωσε το παλιό του, και το θεώρησα πολύτιμο γιατί ήταν υπέροχο…
…και θα σας πω τι σας διδάσκει ένας κανόνας διαφάνειας, γιατί όταν τον χρησιμοποιείτε για πολλαπλασιασμό, βασικά μετατρέπετε τους δύο αριθμούς που θέλετε να πολλαπλασιάσετε σε αριθμούς μεταξύ 1 και 10 και μετά τους πολλαπλασιάζετε μαζί.
Και μετά πρέπει να υπολογίσετε πού πηγαίνει η υποδιαστολή.
Εάν διαιρέσατε έναν αριθμό με το 100 και πολλαπλασιάσατε τον άλλο με το 1000 για να τους βρείτε στο εύρος, τότε συνολικά πρέπει να προσθέσετε ένα μηδέν, για να πολλαπλασιάσετε με το 10, στο τέλος.
Ήταν λοιπόν ένας φανταστικός τρόπος να διδάξετε τον εαυτό σας εάν οι απαντήσεις που πήρατε από την ηλεκτρονική σας αριθμομηχανή, όπου πληκτρολογούσατε μεγάλους αριθμούς όπως 7,000,000,000…
…είτε θα είχατε πραγματικά την τάξη μεγέθους, τον εκθέτη, σωστά.
Οι κανόνες διαφανειών και το τυπωμένο τους ισοδύναμο, οι πίνακες καταγραφής, σας έμαθαν πολλά για το πώς να διαχειρίζεστε τάξεις μεγέθους στο μυαλό σας και να μην αποδέχεστε πλαστά αποτελέσματα πολύ εύκολα.
ΖΥΜΗ. Δεν έχω χρησιμοποιήσει ποτέ ένα, αλλά ακούγεται πολύ συναρπαστικό από αυτό που μόλις περιέγραψες.
Ας συνεχίσουμε τον ενθουσιασμό.
Την περασμένη εβδομάδα, ο Firefox κυκλοφόρησε 115 έκδοση:
Ο Firefox 115 κυκλοφόρησε, αποχαιρετά τους χρήστες παλαιότερων εκδόσεων Windows και Mac
Περιέλαβαν ένα σημείωμα που θα ήθελα να διαβάσω και παραθέτω:
Τον Ιανουάριο του 2023, η Microsoft τερμάτισε την υποστήριξη των Windows 7 και Windows 8.
Κατά συνέπεια, αυτή είναι η τελευταία έκδοση του Firefox που θα λάβουν οι χρήστες σε αυτά τα λειτουργικά συστήματα.
Και νιώθω ότι κάθε φορά που μια από αυτές τις σημειώσεις προσαρτάται σε μια τελική κυκλοφορία, οι άνθρωποι βγαίνουν και λένε, "Γιατί δεν μπορώ να συνεχίσω να χρησιμοποιώ τα Windows 7;"
Είχαμε ακόμη και έναν σχολιαστή που έλεγε ότι τα Windows XP είναι μια χαρά.
Τι θα έλεγες λοιπόν σε αυτούς τους ανθρώπους, Paul, που δεν θέλουν να προχωρήσουν από τις εκδόσεις του λειτουργικού συστήματος που αγαπούν;
ΠΑΠΙΑ. Ο καλύτερος τρόπος για να το θέσω, Νταγκ, είναι να διαβάσω τι είπαν οι καλύτερα ενημερωμένοι σχολιαστές στο άρθρο μας.
Ο Alex Fair γράφει:
Δεν έχει να κάνει μόνο με το τι *εσείς* θέλετε, αλλά με το πώς θα μπορούσατε να σας χρησιμοποιήσουν και να σας εκμεταλλευτούν και με τη σειρά σας να βλάψετε τους άλλους.
Και ο Paul Roux μάλλον σατιρικά είπε:
Γιατί οι άνθρωποι εξακολουθούν να τρέχουν Windows 7 ή XP για αυτό το θέμα;
Εάν ο λόγος είναι ότι τα νεότερα λειτουργικά συστήματα είναι κακά, γιατί να μην χρησιμοποιήσετε τα Windows 2000;
Heck, NT 4 ήταν τόσο φοβερό που έλαβε ΕΞΙ service pack!
ΖΥΜΗ. [ΓΕΛΙΑ] Το 2000 *ήταν* φοβερό, όμως.
ΠΑΠΙΑ. Δεν είναι όλα για σένα.
Αφορά το γεγονός ότι το σύστημά σας περιλαμβάνει σφάλματα, τα οποία οι απατεώνες ξέρουν ήδη πώς να τα εκμεταλλεύονται, τα οποία ποτέ μα ποτέ δεν θα διορθωθούν.
Οπότε η απάντηση είναι ότι μερικές φορές απλά πρέπει να τα παρατάς, Νταγκ.
ΖΥΜΗ. «Είναι καλύτερα να έχεις αγαπήσει και να χάσεις παρά να μην έχεις αγαπήσει ποτέ», όπως λένε.
Ας μείνουμε στο θέμα της Microsoft.
μπάλωμα Τρίτη, ο Παύλος, δίνει γενναιόδωρα.
ΠΑΠΙΑ. Ναι, διορθώθηκε ο συνηθισμένος μεγάλος αριθμός σφαλμάτων.
Τα μεγάλα νέα από αυτό, τα πράγματα που πρέπει να θυμάστε (και υπάρχουν δύο άρθρα που μπορείτε go και συμβουλευτείτε στο news.sophos.com αν θέλετε να μάθετε τις τρομερές λεπτομέρειες)….
Ένα θέμα είναι ότι τέσσερα από αυτά τα σφάλματα βρίσκονται στις άγριες τρύπες, μηδενικής ημέρας, που ήδη αποτελούν αντικείμενο εκμετάλλευσης.
Δύο από αυτά είναι παρακάμψεις ασφαλείας και όσο ασήμαντο κι αν ακούγεται, προφανώς σχετίζονται με το να κάνετε κλικ σε διευθύνσεις URL ή να ανοίγετε πράγματα σε μηνύματα ηλεκτρονικού ταχυδρομείου όπου κανονικά θα λαμβάνατε μια προειδοποίηση που λέει: "Είστε πραγματικά βέβαιοι ότι θέλετε να το κάνετε αυτό;"
Κάτι που διαφορετικά θα μπορούσε να εμποδίσει αρκετούς ανθρώπους από το να κάνουν ένα ανεπιθύμητο λάθος.
Και υπάρχουν δύο οπές Elevation-of-Privilege (EoP) που έχουν διορθωθεί.
Και παρόλο που το Elevation of Privilege συνήθως αντιμετωπίζεται ως μικρότερο από την Απομακρυσμένη Εκτέλεση Κώδικα, όπου οι απατεώνες χρησιμοποιούν το σφάλμα για να εισβάλουν στην πρώτη θέση, το πρόβλημα με το EoP έχει να κάνει με απατεώνες που ήδη «περιπλανώνται με πρόθεση» στο δίκτυό σας .
Είναι σαν να μπορούν να αναβαθμιστούν από επισκέπτης στο λόμπι ενός ξενοδοχείου σε έναν υπερ-μυστικό, σιωπηλό διαρρήκτη που ξαφνικά και μαγικά έχει πρόσβαση σε όλα τα δωμάτια του ξενοδοχείου.
Οπότε σίγουρα αξίζει να τα προσέξεις.
Και υπάρχει μια ειδική συμβουλή ασφαλείας της Microsoft…
…καλά, υπάρχουν πολλά από αυτά. αυτό στο οποίο θέλω να επιστήσω την προσοχή σας είναι το ADV23001, το οποίο ουσιαστικά λέει η Microsoft: «Γεια, θυμηθείτε όταν οι ερευνητές της Sophos μας ανέφεραν ότι είχαν βρει ένα μεγάλο πλήθος rootkittery που συνέβαινε με υπογεγραμμένα προγράμματα οδήγησης πυρήνα που ακόμη και τα σύγχρονα Windows θα έκαναν απλώς φορτώνουν επειδή εγκρίθηκαν για χρήση;»
Νομίζω ότι στο τέλος υπήρχαν πάνω από 100 τέτοιοι υπογεγραμμένοι οδηγοί.
Τα σπουδαία νέα σε αυτήν την συμβουλευτική είναι ότι όλους αυτούς τους μήνες αργότερα, η Microsoft είπε τελικά: «Εντάξει, θα σταματήσουμε τη φόρτωση αυτών των προγραμμάτων οδήγησης και θα αρχίσουμε να τα αποκλείουμε αυτόματα».
[ΕΙΡΩΝΙΚΟ] Το οποίο υποθέτω ότι είναι αρκετά μεγάλο από αυτά, πραγματικά, όταν τουλάχιστον μερικά από αυτά τα προγράμματα οδήγησης είχαν υπογραφεί από την ίδια τη Microsoft, ως μέρος του προγράμματος ποιότητας υλικού της. [ΓΕΛΙΑ]
Αν θέλετε να βρείτε την ιστορία πίσω από την ιστορία, όπως είπα, απλώς κατευθυνθείτε στο news.sophos.com και αναζητήστε "οδηγοί".
Η Microsoft ανακαλεί κακόβουλα προγράμματα οδήγησης στο Patch Tuesday Culling
ΖΥΜΗ. Εξαιρετική.
Εντάξει, αυτή η επόμενη ιστορία… Με ενδιαφέρει αυτός ο τίτλος για τόσους πολλούς λόγους: Το Rowhammer επιστρέφει για να φωτίσει τον υπολογιστή σας.
Παύλο, πες μου για…
[ΣΤΟΝ ΚΑΛΥΔΙ ΤΟΥ «ΣΦΥΡΟΥ» ΤΟΥ PETER GABRIEL] Πες μου για…
ΚΑΙ ΤΑ ΔΥΟ. [ΤΡΑΓΟΥΔΑ] Rowhammer!
ΖΥΜΗ. [ΓΕΛΙΑ] Το κάρφωσε!
ΠΑΠΙΑ. Συνεχίστε, τώρα πρέπει να κάνετε το riff.
ΖΥΜΗ. [ΣΥΝΘΕΣΗ ΕΝΑ ΣΥΝΘΕΣΗ] Doodly-doo da doo, doo doo.
ΠΑΠΙΑ. [ΕΝΤΥΠΩΣΙΣΜΕΝΟΣ] Πολύ καλό, Νταγκ!
ΖΥΜΗ. Σας ευχαριστώ.
ΠΑΠΙΑ. Όσοι δεν το θυμούνται αυτό από το παρελθόν: το "Rowhammer" είναι το όνομα της ορολογίας που μας υπενθυμίζει ότι οι πυκνωτές, όπου τα κομμάτια μνήμης (ένα και μηδενικά) είναι αποθηκευμένα στη σύγχρονη DRAM ή σε τσιπ μνήμης δυναμικής τυχαίας πρόσβασης, είναι τόσο κοντά μαζί…
Όταν γράφετε σε ένα από αυτά (πρέπει πραγματικά να διαβάζετε και να γράφετε τους πυκνωτές σε σειρές κάθε φορά, άρα "rowhammer"), όταν το κάνετε αυτό, επειδή έχετε διαβάσει τη σειρά, έχετε αποφορτίσει τους πυκνωτές.
Ακόμα κι αν το μόνο που έχετε κάνει είναι να κοιτάξετε τη μνήμη, θα πρέπει να γράψετε πίσω τα παλιά περιεχόμενα, διαφορετικά θα χαθούν για πάντα.
Όταν το κάνετε αυτό, επειδή αυτοί οι πυκνωτές είναι τόσο μικροσκοπικοί και τόσο κοντά μεταξύ τους, υπάρχει μια μικρή πιθανότητα οι πυκνωτές σε μία ή και στις δύο γειτονικές σειρές να ανατρέψουν την τιμή τους.
Τώρα, ονομάζεται DRAM επειδή δεν κρατά τη φόρτισή του επ' αόριστον, όπως η στατική RAM ή η μνήμη flash (με τη μνήμη flash μπορείτε ακόμη και να απενεργοποιήσετε την τροφοδοσία και θα θυμάται τι υπήρχε).
Αλλά με τη DRAM, μετά από περίπου ένα δέκατο του δευτερολέπτου, βασικά, τα φορτία σε όλους αυτούς τους μικρούς πυκνωτές θα έχουν εκτονωθεί.
Χρειάζονται λοιπόν να ξαναγράφουν συνέχεια.
Και αν ξαναγράφετε πολύ γρήγορα, μπορείτε πραγματικά να λάβετε κομμάτια στην κοντινή μνήμη για αναστροφή.
Ιστορικά, ο λόγος που αυτό ήταν πρόβλημα είναι ότι εάν μπορείτε να παίξετε με τη στοίχιση μνήμης, παρόλο που δεν μπορείτε να προβλέψετε ποια bit θα αναστραφούν, *ίσως* να μπορείτε να μπλέξετε με πράγματα όπως δείκτες μνήμης, πίνακες σελίδων, ή δεδομένα μέσα στον πυρήνα.
Ακόμα κι αν το μόνο που κάνετε είναι να διαβάζετε από τη μνήμη επειδή έχετε μη προνομιακή πρόσβαση σε αυτήν τη μνήμη εκτός του πυρήνα.
Και σε αυτό έχουν την τάση να επικεντρώνονται οι επιθέσεις rowhammer μέχρι σήμερα.
Τώρα, αυτό που έκαναν αυτοί οι ερευνητές από το Πανεπιστήμιο της Καλιφόρνια στο Ντέιβις ήταν ότι κατάλαβαν: "Λοιπόν, αναρωτιέμαι αν τα μοτίβα αναστροφής bit, όσο ψευδοτυχαία κι αν είναι, είναι συνεπή για διαφορετικούς προμηθευτές τσιπ;"
Αυτό που ακούγεται κάπως/κάπως σαν «supercookie», έτσι δεν είναι;
Κάτι που προσδιορίζει τον υπολογιστή σας την επόμενη φορά.
Και πράγματι, οι ερευνητές προχώρησαν ακόμη παραπέρα και διαπίστωσαν ότι μεμονωμένα τσιπ… ή μονάδες μνήμης (συνήθως έχουν πολλά τσιπ DRAM πάνω τους), DIMM, διπλές ενσωματωμένες μονάδες μνήμης που μπορείτε να κουμπώσετε στις υποδοχές του επιτραπέζιου υπολογιστή σας, για παράδειγμα, και σε ορισμένους φορητούς υπολογιστές.
Ανακάλυψαν ότι, στην πραγματικότητα, τα μοτίβα αναστροφής bit θα μπορούσαν να μετατραπούν σε ένα είδος σάρωσης ίριδας, ή κάτι τέτοιο, έτσι ώστε να μπορούν να αναγνωρίσουν τα DIMM αργότερα κάνοντας ξανά την επίθεση rowhammering.
Με άλλα λόγια, μπορείτε να διαγράψετε τα cookies του προγράμματος περιήγησής σας, μπορείτε να αλλάξετε τη λίστα των εφαρμογών που έχετε εγκαταστήσει, μπορείτε να αλλάξετε το όνομα χρήστη, μπορείτε να επανεγκαταστήσετε ένα ολοκαίνουργιο λειτουργικό σύστημα, αλλά τα τσιπ μνήμης, θεωρητικά, θα σας δώσουν Μακριά.
Και σε αυτή την περίπτωση, η ιδέα είναι: σούπερ μπισκότα.
Πολύ ενδιαφέρον και αξίζει να το διαβάσετε.
ΖΥΜΗ. Ειναι ΕΝΤΑΞΕΙ!
Ένα άλλο πράγμα σχετικά με τη συγγραφή ειδήσεων, Paul: είσαι καλός συγγραφέας ειδήσεων και η ιδέα είναι να προσελκύσεις τον αναγνώστη αμέσως.
Έτσι, στην πρώτη πρόταση αυτού του επόμενου άρθρου λέτε: «Ακόμα κι αν δεν έχετε ακούσει για το αξιοσέβαστο έργο Ghostscript, μπορεί κάλλιστα να το έχετε χρησιμοποιήσει χωρίς να το γνωρίζετε».
Με ιντριγκάρει, γιατί ο τίτλος είναι: Το σφάλμα Ghostscript θα μπορούσε να επιτρέψει σε αδίστακτα έγγραφα να εκτελούν εντολές συστήματος.
Το σφάλμα Ghostscript θα μπορούσε να επιτρέψει σε αδίστακτα έγγραφα να εκτελούν εντολές συστήματος
Πες μου κι άλλα!
ΠΑΠΙΑ. Λοιπόν, το Ghostscript είναι μια εφαρμογή δωρεάν και ανοιχτού κώδικα των γλωσσών PostScript και PDF της Adobe.
(Εάν δεν έχετε ακούσει για το PostScript, λοιπόν, το PDF είναι κάτι σαν "PostScript Επόμενης Γενιάς".)
Είναι ένας τρόπος περιγραφής του τρόπου δημιουργίας μιας εκτυπωμένης σελίδας ή μιας σελίδας σε μια οθόνη υπολογιστή, χωρίς να λέτε στη συσκευή ποια pixel να ενεργοποιήσει.
Λοιπόν, λέτε, «Σχεδιάστε το τετράγωνο εδώ. σχεδιάστε εδώ τρίγωνο. χρησιμοποιήστε αυτήν την όμορφη γραμματοσειρά."
Είναι μια γλώσσα προγραμματισμού από μόνη της που σας δίνει ανεξάρτητο από τη συσκευή έλεγχο πραγμάτων όπως εκτυπωτές και οθόνες.
Και το Ghostscript είναι, όπως είπα, ένα δωρεάν και ανοιχτού κώδικα εργαλείο για να γίνει αυτό ακριβώς.
Και υπάρχουν πολλά άλλα προϊόντα ανοιχτού κώδικα που χρησιμοποιούν ακριβώς αυτό το εργαλείο ως τρόπο εισαγωγής στοιχείων όπως αρχεία EPS (Encapsulated PostScript), όπως μπορεί να λάβετε από μια εταιρεία σχεδιασμού.
Έτσι, μπορεί να έχετε Ghostscript χωρίς να το καταλάβετε – αυτό είναι το βασικό πρόβλημα.
Και αυτό ήταν ένα μικρό αλλά πραγματικά ενοχλητικό σφάλμα.
Αποδεικνύεται ότι ένα παραπλανητικό έγγραφο μπορεί να λέει πράγματα όπως: "Θέλω να δημιουργήσω κάποιο αποτέλεσμα και θέλω να το βάλω σε ένα όνομα αρχείου XYZ".
Αλλά αν βάλετε, στην αρχή του ονόματος αρχείου, %pipe%
και *μετά* το όνομα αρχείου…
…αυτό το όνομα αρχείου γίνεται το όνομα μιας εντολής προς εκτέλεση που θα επεξεργάζεται την έξοδο του Ghostscript σε αυτό που ονομάζεται "pipeline".
Αυτό μπορεί να ακούγεται σαν μια μεγάλη ιστορία για ένα μεμονωμένο σφάλμα, αλλά το σημαντικό μέρος αυτής της ιστορίας είναι ότι μετά την επίλυση αυτού του προβλήματος: «Ω, όχι! Πρέπει να είμαστε προσεκτικοί εάν το όνομα του αρχείου ξεκινά με τους χαρακτήρες %pipe%
, γιατί αυτό στην πραγματικότητα σημαίνει ότι είναι μια εντολή, όχι ένα όνομα αρχείου."
Αυτό θα μπορούσε να είναι επικίνδυνο, γιατί θα μπορούσε να προκαλέσει απομακρυσμένη εκτέλεση κώδικα.
Έτσι, διόρθωσαν αυτό το σφάλμα και τότε κάποιος συνειδητοποίησε: «Ξέρετε τι, τα σφάλματα συχνά πηγαίνουν σε ζευγάρια ή σε ομάδες».
Είτε παρόμοια λάθη κωδικοποίησης αλλού στο ίδιο κομμάτι κώδικα, είτε περισσότεροι από ένας τρόποι ενεργοποίησης του αρχικού σφάλματος.
Και τότε ήταν που κάποιος από την ομάδα του Ghostscript Script συνειδητοποίησε, «Ξέρεις τι, τους αφήνουμε επίσης να πληκτρολογούν |
[κάθετη γραμμή, δηλαδή ο χαρακτήρας "pipe"] και το όνομα της εντολής διαστήματος, οπότε πρέπει να το ελέγξουμε και αυτό."
Υπήρχε λοιπόν ένα patch, ακολουθούμενο από ένα patch-to-the-patch.
Και αυτό δεν είναι απαραίτητα σημάδι κακίας από την πλευρά της ομάδας προγραμματισμού.
Στην πραγματικότητα είναι ένα σημάδι ότι δεν έκαναν απλώς την ελάχιστη ποσότητα εργασίας, την υπέγραψαν και σας άφησαν να υποφέρετε με το άλλο ζωύφιο και να περιμένετε μέχρι να βρεθεί στη φύση.
ΖΥΜΗ. Και για να μην νομίζεις ότι τελειώσαμε να μιλάμε για ζουζούνια, αγόρι, σου έχουμε κουλούρα!
Έκτακτη ενημέρωση Apple προέκυψαν, και μετά δεν αναδύθηκε, και μετά η Apple το σχολίασε κάπως/κάπως, που σημαίνει ότι πάνω είναι κάτω και αριστερά είναι δεξιά, Paul.
Επείγων! Η Apple διορθώνει την κρίσιμη τρύπα zero-day σε iPhone, iPad και Mac
ΠΑΠΙΑ. Ναι, είναι λίγο μια κωμωδία λαθών.
Σχεδόν, αλλά όχι πολύ, λυπάμαι για την Apple για αυτό…
…αλλά λόγω της επιμονής τους να λένε όσο το δυνατόν λιγότερα (όταν δεν λένε απολύτως τίποτα), δεν είναι ακόμα σαφές ποιος φταίει.
Αλλά η ιστορία έχει ως εξής: «Ω, όχι! Υπάρχει μια ημέρα 0 στο Safari, στο WebKit (η μηχανή του προγράμματος περιήγησης που χρησιμοποιείται σε κάθε πρόγραμμα περιήγησης στο iPhone σας και στο Safari στο Mac σας) και απατεώνες/προμηθευτές λογισμικού κατασκοπίας/κάποιος προφανώς το χρησιμοποιεί αυτό για μεγάλο κακό».
Με άλλα λόγια, "look-and-be-pwned", ή "drive-by install", ή "zero-click influence" ή όπως θέλετε πείτε το.
Έτσι, η Apple, όπως γνωρίζετε, έχει τώρα αυτό το σύστημα γρήγορης απόκρισης ασφαλείας (τουλάχιστον για τα πιο πρόσφατα iOS, iPadOS και macOS) όπου δεν χρειάζεται να δημιουργήσει μια πλήρη αναβάθμιση συστήματος, με έναν εντελώς νέο αριθμό έκδοσης που δεν μπορείτε ποτέ να υποβαθμίσετε από, κάθε φορά που υπάρχει 0-ημέρα.
Έτσι, ταχείες αντιδράσεις ασφαλείας.
Αυτά είναι τα πράγματα που, αν δεν λειτουργούν, μπορείτε να τα αφαιρέσετε μετά.
Το άλλο πράγμα είναι ότι είναι γενικά πολύ μικροσκοπικά.
Εξαιρετική!
Το πρόβλημα είναι… φαίνεται ότι επειδή αυτές οι ενημερώσεις δεν λαμβάνουν νέο αριθμό έκδοσης, η Apple έπρεπε να βρει έναν τρόπο να υποδηλώσει ότι είχατε ήδη εγκαταστήσει το Rapid Security Response.
Έτσι, αυτό που κάνουν είναι να παίρνετε τον αριθμό της έκδοσής σας, όπως το iOS 16.5.1, και μετά προσθέτουν έναν χαρακτήρα διαστήματος και μετά (a)
.
Και η λέξη στο δρόμο είναι ότι ορισμένες ιστοσελίδες (δεν θα τις ονομάσω γιατί όλα αυτά είναι φήμες)…
…όταν εξέταζαν το User-Agent
συμβολοσειρά στο Safari, που περιλαμβάνει το (a)
μόνο για πληρότητα, είπε: «Ουοοοο! Τι είναι (a)
κάνει σε αριθμό έκδοσης;»
Έτσι, ορισμένοι χρήστες ανέφεραν κάποια προβλήματα και η Apple προφανώς τράβηξε η ενημέρωση.
Η Apple πραγματοποιεί σιωπηλά την τελευταία της ενημέρωση zero-day – τι τώρα;
Και μετά, μετά από ένα σωρό σύγχυση, και ένα άλλο άρθρο για τη Γυμνή Ασφάλεια, και κανείς δεν ξέρει τι ακριβώς συνέβαινε… [ΓΕΛΙΑ]
…Η Apple δημοσίευσε τελικά το HT21387, ένα ενημερωτικό δελτίο ασφαλείας που παρήγαγε προτού όντως έχουν έτοιμο το patch, κάτι που συνήθως δεν το κάνουν.
Αλλά ήταν σχεδόν χειρότερο από το να μην πω τίποτα, γιατί είπαν, «Λόγω αυτού του προβλήματος, ταχεία απόκριση ασφαλείας (b)
θα είναι σύντομα διαθέσιμο για την αντιμετώπιση αυτού του ζητήματος».
Και αυτό είναι όλο. [ΓΕΛΙΟ]
Δεν λένε ακριβώς ποιο είναι το θέμα.
Δεν λένε αν είναι κάτω User-Agent
strings γιατί, αν ναι, ίσως το πρόβλημα είναι περισσότερο με τον ιστότοπο στο άλλο άκρο παρά με την ίδια την Apple;
Αλλά η Apple δεν λέει.
Επομένως, δεν ξέρουμε αν φταίνε αυτοί, ο διακομιστής ιστού ή και οι δύο.
Και λένε απλώς «σύντομα», Νταγκ.
ΖΥΜΗ. Αυτή είναι μια καλή στιγμή για να φέρουμε την ερώτηση του αναγνώστη μας.
Σε αυτήν την ιστορία της Apple, ο αναγνώστης JP ρωτά:
Γιατί οι ιστότοποι πρέπει να επιθεωρούν τόσο πολύ το πρόγραμμα περιήγησής σας;
Είναι πολύ κατασκοπικό και βασίζεται σε παλιούς τρόπους να κάνεις πράγματα.
Τι λες για αυτό, Παύλο;
ΠΑΠΙΑ. Αναρωτήθηκα αυτή ακριβώς την ερώτηση και έψαξα, «Τι υποτίθεται ότι πρέπει να κάνεις User-Agent
χορδές;»
Φαίνεται να είναι λίγο μόνιμο πρόβλημα για ιστότοπους όπου προσπαθούν να είναι εξαιρετικά έξυπνοι.
Πήγα λοιπόν στο MDN (αυτό που ήταν, νομίζω, Δίκτυο προγραμματιστών Mozilla, αλλά τώρα είναι ένας ιστότοπος κοινότητας), που είναι ένας από τους καλύτερους πόρους αν αναρωτιέστε, «Τι γίνεται με τις κεφαλίδες HTTP; Τι γίνεται με την HTML; Τι γίνεται με το JavaScript; Τι γίνεται με το CSS; Πώς ταιριάζουν όλα αυτά;»
Και η συμβουλή τους, πολύ απλά, είναι, «Παρακαλώ, όλοι, σταματήστε να κοιτάτε το User-Agent
σειρά. Απλώς φτιάχνεις ένα καλάμι για την πλάτη σου και ένα σωρό πολυπλοκότητα για όλους τους άλλους».
Γιατί λοιπόν κοιτάζουν οι ιστότοποι User-Agent
?
[WRY] Υποθέτω γιατί μπορούν. [ΓΕΛΙΟ]
Όταν δημιουργείτε έναν ιστότοπο, αναρωτηθείτε: «Γιατί κατεβαίνω αυτή την τρύπα για να έχω έναν διαφορετικό τρόπο απόκρισης με βάση κάποιο περίεργο κομμάτι της συμβολοσειράς κάπου στο User-Agent
; "
Προσπαθήστε και σκεφτείτε πέρα από αυτό, και η ζωή θα είναι πιο απλή για όλους μας.
ΖΥΜΗ. Εντάξει, πολύ φιλοσοφικό!
Ευχαριστώ, JP, που το έστειλες.
Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.
Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας επισκεφτείτε στα social: @nakedsecurity.
Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.
Για τον Paul Ducklin, είμαι ο Doug Aamoth, υπενθυμίζοντας σας: Μέχρι την επόμενη φορά…
ΚΑΙ ΤΑ ΔΥΟ. Μείνετε ασφαλείς!
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/07/13/s3-ep143-supercookie-surveillance-shenanigans/
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 000
- 1
- 10
- 100
- 16
- 2000
- 2023
- 7
- 8
- a
- Ικανός
- ΠΛΗΡΟΦΟΡΙΕΣ
- σχετικά με αυτό
- Αποδέχομαι
- πρόσβαση
- Ενέργειες
- πραγματικά
- προσθέτω
- διεύθυνση
- συμβουλές
- συμβουλευτικός
- Μετά το
- κατόπιν
- πάλι
- κατά
- ευθυγραμμία
- Όλα
- επιτρέπουν
- ήδη
- Καλώς
- Επίσης
- Αν και
- am
- ποσό
- an
- και
- Άλλος
- απάντηση
- απαντήσεις
- κάθε
- οπουδήποτε
- Apple
- εφαρμογές
- εγκεκριμένη
- ΕΙΝΑΙ
- άρθρο
- εμπορεύματα
- AS
- At
- επίθεση
- Επιθέσεις
- προσοχή
- ήχου
- συγγραφέας
- αυτομάτως
- διαθέσιμος
- μακριά
- πίσω
- Κακός
- μπαρ
- βασίζονται
- Βασικα
- BE
- όμορφη
- επειδή
- γίνεται
- ήταν
- πριν
- Αρχή
- πίσω
- είναι
- Πιστεύω
- παρακάτω
- ΚΑΛΎΤΕΡΟΣ
- Καλύτερα
- μεταξύ
- Πέρα
- Μεγάλος
- Κομμάτι
- κλείδωμα
- αίμα
- και οι δύο
- μάρκα
- Καινούργια
- Διακοπή
- φέρω
- πρόγραμμα περιήγησης
- Έντομο
- σφάλματα
- δελτίο
- τσαμπί
- αλλά
- by
- Καλιφόρνια
- κλήση
- που ονομάζεται
- ήρθε
- CAN
- προσεκτικός
- περίπτωση
- Αιτία
- ευκαιρία
- αλλαγή
- χαρακτήρας
- χαρακτήρες
- χρέωση
- φορτία
- έλεγχος
- τσιπ
- καθαρός
- Κλεισιμο
- κωδικός
- Κωδικοποίηση
- COM
- Ελάτε
- Κωμωδία
- σχόλιο
- σχολίασε
- κοινότητα
- εταίρα
- περίπλοκο
- υπολογιστή
- οθόνη υπολογιστή
- υπολογιστές
- σύγχυση
- Εξετάστε
- θεωρούνται
- συνεπής
- σύγχρονος
- περιεχόμενα
- έλεγχος
- μετατρέψετε
- μετατρέπονται
- μπισκότα
- θα μπορούσε να
- Ζευγάρι
- Πορεία
- Crash
- δημιουργία
- δημιουργία
- κρίσιμης
- CSS
- da
- Ο μπαμπάς
- Επικίνδυνες
- ημερομηνία
- Ημερομηνία
- Davis
- οπωσδηποτε
- περιγράφεται
- Υπηρεσίες
- επιφάνεια εργασίας
- καθέκαστα
- Εργολάβος
- συσκευή
- DID
- διαφορετικές
- διαιρούμενο
- do
- έγγραφο
- έγγραφα
- κάνει
- Όχι
- πράξη
- γίνεται
- Μην
- διπλασιαστεί
- κάτω
- Κατηφορικός
- δραματικά
- σχεδιάζω
- οδηγοί
- Πτώση
- δυναμικός
- e
- κάθε
- εύκολα
- Ηλεκτρονικός
- αλλιώς
- αλλού
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- επείγον
- έγκλειστα
- τέλος
- Κινητήρας
- Ισοδύναμος
- Εποχή
- λάθη
- Even
- ΠΑΝΤΑ
- Κάθε
- ακριβώς
- Εξετάζοντας
- παράδειγμα
- έξοχος
- Έξαψη
- συναρπαστικός
- εκτέλεση
- Εκμεταλλεύομαι
- Κακοποιημένα
- γεγονός
- έκθεση
- φανταστική
- αισθάνομαι
- λίγοι
- σχηματικός
- Αρχεία
- Αρχεία
- τελικός
- Τελικά
- Εύρεση
- τέλος
- Firefox
- Όνομα
- ταιριάζουν
- καθορίζεται
- φλας
- Αναρρίπτω
- Συγκέντρωση
- ακολουθείται
- Για
- για πάντα
- Βρέθηκαν
- τέσσερα
- Δωρεάν
- από
- πλήρη
- περαιτέρω
- γενικά
- παίρνω
- Δώστε
- δίνει
- Go
- πηγαίνει
- μετάβαση
- καλός
- εξαιρετική
- Ομάδα
- Επισκέπτης
- είχε
- τα χέρια
- υλικού
- βλάψει
- επιβλαβής
- Έχω
- που έχει
- he
- κεφάλι
- κεφαλίδες
- επικεφαλίδα
- ακούσει
- εδώ
- του
- Επιτυχία
- κρατήστε
- Τρύπα
- Τρύπες
- ξενοδοχείο
- Πως
- Πώς να
- HTML
- http
- HTTPS
- i
- ΕΓΩ ΘΑ
- ιδέα
- αναγνωρίζει
- if
- εκτέλεση
- σημαντικό
- εισαγωγή
- εντυπωσιασμένος
- in
- περιλαμβάνονται
- περιλαμβάνει
- πράγματι
- Δείκτες
- ατομικές
- μέσα
- εγκατασταθεί
- Ίδρυμα
- ενδιαφέρον
- σε
- iOS
- iPadOS
- iPhone
- ζήτημα
- IT
- ΤΟΥ
- εαυτό
- Ιανουάριος
- ορολογία
- το JavaScript
- jp
- Ιούλιος
- μόλις
- Διατήρηση
- Κλειδί
- Ξέρω
- Γνωρίζοντας
- Γλώσσα
- Γλώσσες
- φορητούς υπολογιστές
- large
- Επίθετο
- αργότερα
- αργότερο
- Νόμος
- ελάχιστα
- Άδεια
- αριστερά
- μικρότερος
- ας
- ζωή
- Μου αρέσει
- Λιστα
- Ακούγοντας
- λίγο
- φορτίο
- Αίθουσα Αναμονής
- κούτσουρο
- Μακριά
- ματιά
- κοίταξε
- κοιτάζοντας
- έχασε
- Παρτίδα
- αγάπη
- αγάπησε
- mac
- MacOS
- που
- Κατασκευή
- διαχείριση
- πολοί
- πολλοί άνθρωποι
- μαρκαρισμένος
- βαθμολόγηση
- μαθηματικός
- ύλη
- Ενδέχεται..
- μπορεί
- mdn
- me
- μέσα
- Μνήμη
- Microsoft
- ενδέχεται να
- ελάχιστο
- λάθος
- λάθη
- μοντέλο
- ΜΟΝΤΕΡΝΑ
- ενότητες
- μήνες
- περισσότερο
- μετακινήσετε
- πολύ
- πολλαπλασιάζεται
- Μουσική
- μιούζικαλ
- Γυμνή ασφάλεια
- Γυμνό Podcast ασφαλείας
- όνομα
- σχεδόν
- αναγκαίως
- Ανάγκη
- που απαιτούνται
- δίκτυο
- ποτέ
- Νέα
- νέα
- επόμενη
- Κανονικά
- Notes
- τίποτα
- τώρα
- αριθμός
- αριθμοί
- πολυάριθμες
- απαρχαιωμένος
- of
- off
- συχνά
- Παλιά
- on
- ONE
- αυτά
- ανοίξτε
- ανοικτού κώδικα
- άνοιγμα
- λειτουργίας
- το λειτουργικό σύστημα
- λειτουργικά συστήματα
- or
- τάξη
- παραγγελιών
- πρωτότυπο
- ΑΛΛΑ
- Άλλα
- αλλιώς
- δικός μας
- έξω
- παραγωγή
- εκτός
- επί
- φόρμες
- δική
- ανήκει
- σελίδα
- ζεύγη
- μέρος
- Το παρελθόν
- Patch
- μπάλωμα Τρίτη
- Patches
- πρότυπα
- Παύλος
- People
- Πέτρος
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- παίχτης
- το podcast
- podcasts
- Σημείο
- δυνατός
- Δημοσιεύσεις
- δύναμη
- προβλέψει
- παρουσιάζονται
- Τιμές
- προνόμιο
- Πρόβλημα
- προβλήματα
- διαδικασια μας
- Παράγεται
- Προϊόντα
- εξεταστέα ύλη
- Προγραμματισμός
- σχέδιο
- δημοσιεύθηκε
- Τραβά
- βάζω
- ποιότητα
- ερώτηση
- παραθέτω
- Κουνέλι
- RAM
- τυχαίος
- σειρά
- γρήγορα
- μάλλον
- Διάβασε
- Αναγνώστης
- Ανάγνωση
- έτοιμος
- πραγματικά
- λόγος
- λόγους
- λαμβάνω
- έλαβε
- αναγνωρίζω
- απελευθερώνουν
- θυμάμαι
- μακρινός
- αφαιρέστε
- αναφέρθηκαν
- Αναφορά
- ερευνητές
- Υποστηρικτικό υλικό
- απαντώντας
- απάντησης
- απαντήσεις
- Αποτελέσματα
- Επιστροφές
- επανεγγραφή
- δεξιά
- Δωμάτια
- ΣΕΙΡΑ
- rss
- Άρθρο
- κανόνες
- τρέξιμο
- τρέξιμο
- s
- Safari
- Είπε
- ίδιο
- λένε
- ρητό
- λέει
- σάρωση
- Οθόνη
- οθόνες
- Αναζήτηση
- Δεύτερος
- ασφάλεια
- φαίνομαι
- φαίνεται
- τμήμα
- αποστολή
- ποινή
- υπηρεσία
- διάφοροι
- δείχνουν
- υπογράψουν
- υπογραφεί
- παρόμοιες
- απλούστερη
- απλά
- ενιαίας
- Κύριε
- ιστοσελίδα
- Sites
- ΕΞΙ
- Ολίσθηση
- κουλοχέρηδες
- small
- So
- Μ.Κ.Δ
- μερικοί
- Κάποιος
- κάτι
- κάπου
- τραγούδι
- σύντομα
- Ήχος
- SoundCloud
- Πηγή
- Χώρος
- ειδική
- Spotify
- πλατεία
- Εκκίνηση
- ξεκινά
- παραμονή
- Ακόμη
- στάση
- αποθηκεύονται
- Ιστορία
- δρόμος
- Σπάγγος
- θέμα
- υποβάλουν
- τέτοιος
- υποστήριξη
- υποτιθεμένος
- βέβαιος
- επιτήρηση
- σύστημα
- συστήματα
- Πάρτε
- παίρνει
- Συζήτηση
- ομιλία
- διδακτός
- Διδασκαλία
- tech
- πει
- από
- ευχαριστώ
- Ευχαριστώ
- ότι
- Η
- τους
- Τους
- τους
- τότε
- θεωρία
- Εκεί.
- Αυτοί
- αυτοί
- πράγμα
- πράγματα
- νομίζω
- αυτό
- εκείνοι
- αν και?
- ώρα
- προς την
- σήμερα
- μαζι
- πολύ
- πήρε
- εργαλείο
- ενεργοποίηση
- Τρίτη
- ΣΤΡΟΦΗ
- μετατρέπει
- δύο
- τύπος
- πανεπιστήμιο
- Πανεπιστήμιο της Καλιφόρνια
- μέχρι
- ανεπιθύμητος
- Ενημέρωση
- ενημερώσεις
- αναβάθμισης
- URL
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- συνήθως
- αξία
- πωλητές
- εκδοχή
- εκδόσεις
- κατακόρυφος
- πολύ
- περιμένετε
- θέλω
- προειδοποίηση
- ήταν
- παρακολουθείτε
- Τρόπος..
- τρόπους
- we
- ιστός
- κιτ ιστού
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- εβδομάδα
- ΛΟΙΠΌΝ
- πήγε
- ήταν
- Τι
- ανεξαρτήτως
- πότε
- αν
- Ποιό
- Ο ΟΠΟΊΟΣ
- ολόκληρο
- του οποίου
- WHY
- Άγριος
- θα
- παράθυρα
- με
- χωρίς
- λέξη
- λόγια
- Εργασία
- επεξεργάζομαι
- χειρότερος
- αξία
- θα
- γράφω
- συγγραφέας
- γραφή
- xp
- χρόνια
- Ναί
- Εσείς
- νέος
- Σας
- τον εαυτό σας
- zephyrnet
- μηδέν