Ενημερώσεις για την ιστορία ενημέρωσης μηδενικής ημέρας της Apple – οι χρήστες iPhone και iPad το διαβάζουν αυτό!

Οι τακτικοί αναγνώστες θα γνωρίζουν δύο πράγματα σχετικά με τη στάση μας απέναντι στις ενημερώσεις κώδικα ασφαλείας της Apple:

• Μας αρέσει να τα παίρνουμε όσο πιο γρήγορα μπορούμε. Είτε πρόκειται για μια πλήρη αναβάθμιση έκδοσης που περιλαμβάνει επίσης μια δέσμη διορθώσεων ασφαλείας, είτε για μια έκδοση σημείου (ένα σημείο όπου ο αριθμός έκδοσης στο αριστερό μέρος δεν αλλάζει) με κύριο σκοπό την επιδιόρθωση σφαλμάτων αντί για την προσθήκη νέων λειτουργιών, θα προτιμούσαμε να κάνουμε λάθος η πλευρά της εφαρμογής γνωστών επιδιορθώσεων ασφαλείας από το να αφήνουμε τις συσκευές μας με τρύπες που πλέον γνωρίζουν οι εισβολείς, ακόμα κι αν δεν ξέρουν πώς να τις εκμεταλλευτούν ακόμη.
• Ωστόσο, πολύ συχνά βρίσκουμε τα δελτία της Apple μπερδεμένα. Για παράδειγμα, ποτέ δεν ξέρεις πού βρίσκεσαι αν έχεις κολλήσει σε μια έκδοση που δεν έλαβε ενημέρωση αυτή τη φορά.

Τα τελευταία δελτία ασφαλείας της Apple, που κυκλοφόρησαν νωρίτερα αυτή την εβδομάδα, φαίνεται να αποτελεί παράδειγμα του τρόπου με τον οποίο η εταιρεία μερικές φορές φαίνεται να αυξάνει τη σύγχυση λέγοντας πολύ λίγα… που δεν είναι πάντα μια ευχάριστη εναλλακτική από το να μαθαίνεις πάρα πολλά:

Έκτακτη σύγχυση

Με βάση τις ερωτήσεις και τα σχόλια που λάβαμε από τους αναγνώστες τις τελευταίες ημέρες, προέκυψε η ακόλουθη σύγχυση:

• Γιατί ένα ενημερωτικό δελτίο ασφαλείας περιέγραφε ενημερώσεις που ονομάστηκαν iOS 16.1 και iPadOS 16; Γνωρίζουμε ότι το iPadOS 16 καθυστέρησε, οπότε αυτή η πρόσφατη ενημέρωση σήμαινε ότι το iPadOS είχε πλέον διορθωθεί μόνο στο ίδιο επίπεδο ασφάλειας με το iOS 16, το οποίο κυκλοφόρησε πριν από περισσότερο από ένα μήνα, ενώ το iOS προχώρησε στην 16.1, αφήνοντας έτσι το iPadOS περισσότερο από πέντε εβδομάδες με διαφορά όσον αφορά την ασφάλεια στον κυβερνοχώρο;
• Γιατί το iPadOS 16 ανέφερε τελικά τον εαυτό του ως έκδοση 16.1; (Ευχαριστούμε τον Stefaan από το Βέλγιο που τράβηξε στιγμιότυπα οθόνης της διαδικασίας ενημέρωσης του iPad και τα έστειλε.) Μετά την ενημέρωση, το About η οθόνη προφανώς λέει iPadOS 16, όπως έκανε το δελτίο ασφαλείας, ενώ το iPadOS Version Η οθόνη λέει ρητά 16.1. Φαίνεται ότι τα iPhone και τα iPad όχι μόνο υποστηρίζουν και τα δύο "την οικογένεια εκδόσεων γνωστή ως 16", αλλά και τα δύο έχουν τις πιο πρόσφατες επιδιορθώσεις ασφαλείας, οπότε γιατί να μην καλέσετε απλά και τα δύο την έκδοση 16.1 παντού για σαφήνεια, συμπεριλαμβανομένου του ενημερωτικού δελτίου ασφαλείας και στο About οθόνη?
• Πού πήγε το macOS 10 Catalina; Παραδοσιακά, η Apple σταματά την υποστήριξη για macOS έκδοση X-3 όταν κυκλοφορεί η έκδοση X, αλλά αυτή είναι η πραγματική εξήγηση γιατί το macOS 11 Big Sur και το macOS 12 Monterey (εκδόσεις X-2 και X-1 αντίστοιχα) έλαβαν ενημερώσεις ενώ η Catalina δεν t;
• Τι συνέβη με το iOS/iPadOS 15.7.1; Όταν το iOS 16 βγήκε Τον Σεπτέμβριο του 2022, η προηγούμενη οικογένεια εκδόσεων έλαβε επίσης κρίσιμες ενημερώσεις, μεταφέροντάς την στην έκδοση 15.7. Αυτό περιλάμβανε μια κρίσιμη επιδιόρθωση για να κλείσετε ένα τρύπα μηδενικής ημέρας σε επίπεδο πυρήνα υπό ενεργό εκμετάλλευση, που συχνά μεταφράζεται ως "κάποιος εκεί έξω κρυφά, παιδιά, χρησιμοποιεί λογισμικό υποκλοπής spyware σε iPhone". Έτσι, δεδομένου ότι περιλαμβάνεται το iOS 16.1 ένα άλλο Διόρθωση πυρήνα zero-day, ίσως κλείνοντας μια λεωφόρο που εκμεταλλεύεται ακόμη περισσότερο λογισμικό υποκλοπής spyware, πού βρισκόταν η αντίστοιχη ενημερωμένη έκδοση κώδικα για την οικογένεια iOS/iPadOS 15, η οποία κατ' αναλογία θα υποθέτατε ότι θα ήταν 15.7.1;

Όπως είπαμε μέσα το χθεσινό podcast, αντιμέτωποι με την τέταρτη παραπάνω ερώτηση από έναν προβληματικό αναγνώστη, η σύντομη απάντησή μας ήταν απλά, «ΠΑΠΑ: Δεν ξέρω./DOUG: Καθαρή σαν λάσπη».

Μερικές φορές, τα σφάλματα ασφαλείας στην έκδοση X του λειτουργικού συστήματος απλά δεν ισχύουν για την έκδοση X-1, για παράδειγμα επειδή τα σφάλματα υπάρχουν σε κώδικα που προστέθηκε μόνο ή εκτέθηκε σε κίνδυνο μόνο σε νεότερες εκδόσεις.

Αλλά έχουμε δει επίσης την Apple να αποτυγχάνει να παράγει ενημερώσεις για προηγούμενες εκδόσεις για δύο άλλους λόγους, είτε [a] επειδή μια ενημέρωση είναι πραγματικά απαραίτητη, αλλά αποδείχθηκε ότι ήταν πολύ δύσκολη για να ετοιμαστεί και να δοκιμάσει εγκαίρως, είτε [b] επειδή η προηγούμενη έκδοση θεωρήθηκε πλέον ότι δεν υποστηρίζεται και δεν επρόκειτο να λάβει ενημέρωση, είτε ήταν απαραίτητη είτε όχι.

Και με τα δελτία ασφαλείας της Apple σχεδόν πάντα να σας ενημερώνουν μόνο για ενημερώσεις κώδικα που είναι διαθέσιμες αυτήν τη στιγμή, οι ενημερώσεις που λείπουν τακτικά παραμένουν ένα ανεξήγητο (και ανεξήγητο) μυστήριο.

Μια έκρηξη δελτίων

Λοιπόν, σήμερα το πρωί λάβαμε μια έκρηξη 15 μηνυμάτων ηλεκτρονικού ταχυδρομείου ασφαλείας από την Apple , τα περισσότερα από τα οποία απαριθμούσαν πολλά από τα σφάλματα και τα προβλήματα ασφαλείας με αριθμό CVE που αναφέρθηκαν στα δελτία που είχαμε ήδη δει νωρίτερα μέσα στην εβδομάδα.

Κανένα από αυτά δεν διευκρίνισε άμεσα τις τρεις πρώτες ερωτήσεις παραπάνω, αν και τώρα υποθέτουμε ότι ο λόγος για τον οποίο η Apple αναφέρθηκε στο "iPadOS 16" καθώς και στο "iPadOS 16.1" ήταν μια πιθανώς άστοχη προσπάθεια να μεταδοθούν οι πληροφορίες ότι το iPadOS είχε πλέον καθυστερήσει. αναβάθμισης στην έκδοση οικογένειας 16, καθώς και απόκτηση ενός ενημέρωση ισοδύναμο σε επιδιορθώσεις ασφαλείας με το νέο iOS 16.1.

Αλλά το πρώτο δελτίο στο πιο πρόσφατο σάλβο από την Apple έλυσε την τελευταία ερώτηση που αναφέρεται παραπάνω, ανακοινώνοντας το iOS/iPadOS 15.7.1, το οποίο αποδεικνύεται ότι είναι κρίσιμη διόρθωση:

APPLE-SA-2022-10-27-1: Το iOS 15.7.1 και το iPadOS 15.7.1 Το iOS 15.7.1 και το iPadOS 15.7.1 αντιμετωπίζουν τα ακόλουθα ζητήματα. Πληροφορίες σχετικά με το περιεχόμενο ασφαλείας είναι επίσης διαθέσιμες στη διεύθυνση https://support.apple.com/HT213490. [. . .] Πυρήνας Διαθέσιμος για: iPhone 6s και νεότερα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα, iPad mini 4 και μεταγενέστερα, και iPod touch (7ης γενιάς) Αποτέλεσμα: Μια εφαρμογή μπορεί να είναι σε θέση για την εκτέλεση αυθαίρετου κώδικα με δικαιώματα πυρήνα. Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα ενδέχεται να έχει γίνει ενεργή εκμετάλλευση. Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων. CVE-2022-42827: ένας ανώνυμος ερευνητής

Έτσι, το iOS/iPadOS 15 εξακολουθεί να υποστηρίζεται και αν δεν δαγκώσατε την κουκκίδα και δεν αναβαθμίσατε σε iOS 16.1 (ή στο σχισματικό iPadOS 16-δηλαδή-επίσης-16.1) νωρίτερα μέσα στην εβδομάδα…

…τότε θα πρέπει να σιγουρευτείς αποκτήστε το iOS/iPadOS 15.7.1 αμέσως, επειδή η τρύπα zero-day του πυρήνα CVE-2022-42827 που έχει διορθωθεί στο iOS 16.1 βρίσκεται ακριβώς εκεί στο iOS/iPadOS 15.7, υπό ενεργή εκμετάλλευση.

Με άλλα λόγια, αυτή ήταν μια από εκείνες τις περιπτώσεις όπου ο λόγος για την έλλειψη ενημέρωσης πριν από λίγες ημέρες ήταν σχεδόν σίγουρα απλώς ότι τα patches δεν ήταν έτοιμα εγκαίρως.

Τι να κάνω;

TL;DR εάν είστε χρήστης iPhone ή iPad: εάν εξακολουθείτε να χρησιμοποιείτε iOS/iPadOS κύρια έκδοση 15, μεταβείτε στο ρυθμίσεις > General > Ενημέρωση ασφαλείας αμέσως.

Ελέγξτε ακόμα και αν έχετε ενεργοποιήσει τις αυτόματες ενημερώσεις και θυμηθείτε όχι μόνο να εγκρίνετε τη λήψη εάν δεν την έχετε ήδη, αλλά και να επιβάλλετε τη συσκευή σας στο στάδιο εγκατάστασης, το οποίο απαιτεί μία ή περισσότερες επανεκκινήσεις (και το κάνει, φυσικά, πάρτε το τηλέφωνο ή το tablet σας εκτός σύνδεσης για λίγο).

TL;DR αν είστε η Apple: λίγη περισσότερη σαφήνεια θα βοηθούσε πολύ στα ενημερωτικά δελτία ασφαλείας, ειδικά όταν γνωρίζετε είτε ότι μια κρίσιμη ενημέρωση είναι τα φτερά για τους χρήστες προηγούμενων εκδόσεων ή ότι δεν θα χρειάζονται ενημέρωση επειδή δεν επηρεάζεται η έκδοσή τους.

Παρεμπιπτόντως, αν αποφασίσατε να προχωρήσετε στο iOS/iPadOS 16.1 νωρίτερα αυτή την εβδομάδα, απλώς για να είστε ασφαλείς…

…δεν μπορείτε τώρα να επιστρέψετε στο iOS/iPadOS 15.7.1, επειδή η Apple δεν επιτρέπει υποβαθμίσεις.

(Οι υποβαθμίσεις διευκολύνουν το jailbreaking, το οποίο η Apple σκοπεύει να αποτρέψει, και σε κάθε περίπτωση θα απαιτούσε πρώτα μια πλήρη διαγραφή δεδομένων για να αποτρέψει τη χρήση μιας υποβάθμισης ως κακόβουλης παράκαμψης ασφαλείας "φέρτε το δικό σας σφάλμα" για τη διείσδυση προσωπικών πληροφοριών.)

---