ΕΠΕΙΓΩΝ! Η Apple βγάζει την ενημέρωση zero-day για παλαιότερα iPhone και iPad

Λοιπόν, δεν το περιμέναμε αυτό!

Το πολυαγαπημένο μας iPhone 6+, τώρα σχεδόν οκτώ ετών, αλλά σε άψογη, ως καινούργια κατάσταση μέχρι ένα πρόσφατο UDI (περιστατικό ακούσιας αποσυναρμολόγησης, γνωστό και ως ποδήλατο, που έσπασε την οθόνη αλλά άφησε τη συσκευή να λειτουργεί καλά διαφορετικά), δεν έχει λάβει ενημερώσεις ασφαλείας από την Apple για σχεδόν ένα χρόνο.

Η τελευταία ενημέρωση που λάβαμε ήταν πίσω στις 2021-09-23, όταν ενημερώσαμε σε iOS 12.5.5.

Κάθε επόμενη ενημέρωση για το iOS και το iPadOS 15 ενίσχυσε ευνόητα την υπόθεσή μας ότι η Apple είχε εγκαταλείψει την υποστήριξη του iOS 12 για πάντα, και έτσι μεταφέραμε το παλιό iPhone σε υπηρεσία παρασκηνίου, αποκλειστικά ως συσκευή έκτακτης ανάγκης για χάρτες ή τηλεφωνικές κλήσεις ενώ βρίσκεστε στο δρόμο.

(Καταλάβαμε ότι μια άλλη συντριβή θα ήταν απίθανο να καταστρέψει περαιτέρω την οθόνη, οπότε φάνηκε χρήσιμος συμβιβασμός.)

Αλλά μόλις το παρατηρήσαμε Τελικά, η Apple αποφάσισε να ενημερώσει ξανά το iOS 12.

Αυτή η νέα ενημέρωση ισχύει για τα ακόλουθα μοντέλα: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 και iPod touch 6ης γενιάς. (Πριν από την κυκλοφορία του iOS 13.1 και του iPadOS 13.1, τα iPhone και τα iPad χρησιμοποιούσαν το ίδιο λειτουργικό σύστημα, που αναφέρεται ως iOS και για τις δύο συσκευές.)

Δεν λάβαμε συμβουλευτικό μήνυμα ηλεκτρονικού ταχυδρομείου ασφαλείας από την Apple, αλλά ένας αναγνώστης Naked Security που γνωρίζει ότι έχουμε ακόμα αυτό το παλιό iPhone 6+ μας ειδοποίησε για Apple Security Bulletin HT213428. (Ευχαριστώ!)

Με απλά λόγια, η Apple δημοσίευσε μια ενημέρωση κώδικα για CVE-2022-32893, το οποίο είναι ένα από τα δύο μυστηριώδη σφάλματα zero-day που έλαβαν ενημερώσεις κώδικα έκτακτης ανάγκης στις περισσότερες άλλες πλατφόρμες της Apple νωρίτερα τον Αύγουστο του 2022:

Εμφύτευση κακόβουλου λογισμικού

Όπως θα δείτε στο άρθρο ακριβώς παραπάνω, υπήρχε ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα WebKit, το CVE-2022-32893, μέσω του οποίου ένας jailbreaker, ένας πωλητής spyware ή κάποιος δόλιος εγκληματίας στον κυβερνοχώρο θα μπορούσε να σας παρασύρει σε έναν ιστότοπο που έχει παγιδευτεί. εμφυτέψτε κακόβουλο λογισμικό στη συσκευή σας, ακόμα κι αν το μόνο που κάνατε ήταν να κοιτάξετε μια κατά τα άλλα αθώα σελίδα ή έγγραφο.

Στη συνέχεια, υπήρχε ένα δεύτερο σφάλμα στον πυρήνα, το CVE-2022-32894, μέσω του οποίου το εν λόγω κακόβουλο λογισμικό μπορούσε να επεκτείνει τα πλοκάμια του πέρα ​​από την εφαρμογή που μόλις παραβίασε (όπως ένα πρόγραμμα περιήγησης ή μια προβολή εγγράφων) και να αποκτήσει τον έλεγχο του εσωτερικού της λειτουργίας το ίδιο το σύστημα, επιτρέποντας έτσι στο κακόβουλο λογισμικό να κατασκοπεύει, να τροποποιεί ή ακόμα και να εγκαθιστά άλλες εφαρμογές, παρακάμπτοντας τους πολύ περίφημους και διαβόητα αυστηρούς ελέγχους ασφαλείας της Apple.

Λοιπόν, ορίστε τα καλά νέα: Το iOS 12 δεν είναι ευάλωτο στο zero-day CVE-2022-32894 σε επίπεδο πυρήνα, το οποίο σχεδόν σίγουρα αποφεύγει τον κίνδυνο πλήρους συμβιβασμού του ίδιου του λειτουργικού συστήματος.

Αλλά εδώ είναι τα άσχημα νέα: Το iOS 12 είναι ευάλωτο στο σφάλμα WebKit CVE-2022-32893, έτσι ώστε μεμονωμένες εφαρμογές στο τηλέφωνό σας να κινδυνεύουν σίγουρα να παραβιαστούν.

Υποθέτουμε ότι η Apple πρέπει να έχει συναντήσει τουλάχιστον ορισμένους χρήστες υψηλού προφίλ (ή υψηλού κινδύνου ή και των δύο) παλαιότερων τηλεφώνων που παραβιάστηκαν με αυτόν τον τρόπο και αποφάσισε να προωθήσει την προστασία για όλους ως ειδική προφύλαξη.

Ο κίνδυνος του WebKit

Να θυμάστε ότι υπάρχουν σφάλματα WebKit, χαλαρά μιλώντας, στο επίπεδο λογισμικού κάτω από το Safari, έτσι ώστε το πρόγραμμα περιήγησης Safari της Apple να μην είναι η μόνη εφαρμογή που κινδυνεύει από αυτήν την ευπάθεια.

Όλα τα προγράμματα περιήγησης σε iOS, ακόμη και Firefox, Edge, Chrome και ούτω καθεξής, χρησιμοποιούν το WebKit (αυτή είναι μια απαίτηση της Apple εάν θέλετε η εφαρμογή σας να μπει στο App Store).

Και κάθε εφαρμογή που εμφανίζει περιεχόμενο ιστού για άλλους σκοπούς εκτός από τη γενική περιήγηση, όπως στις σελίδες βοήθειας, της Σχετικά οθόνη, ή ακόμα και σε ένα ενσωματωμένο "minibrowser", κινδυνεύει επίσης επειδή θα χρησιμοποιεί το WebKit κάτω από τα καλύμματα.

Με άλλα λόγια, απλώς η «αποφυγή του Safari» και η προσκόλληση σε πρόγραμμα περιήγησης τρίτου μέρους δεν είναι κατάλληλη λύση σε αυτήν την περίπτωση.

Τι να κάνω;

Γνωρίζουμε τώρα ότι η απουσία ενημέρωσης για το iOS 12 όταν κυκλοφόρησαν οι πιο πρόσφατες ενημερώσεις κώδικα έκτακτης ανάγκης για πιο πρόσφατα iPhone δεν οφείλεται στο γεγονός ότι το iOS ήταν ήδη ασφαλές.

Απλώς οφειλόταν στο γεγονός ότι μια ενημέρωση δεν ήταν ακόμη διαθέσιμη.

Έτσι, δεδομένου ότι πλέον γνωρίζουμε ότι το iOS 12 is σε κίνδυνο και ότι οι εκμεταλλεύσεις κατά του CVE-2022-32893 χρησιμοποιούνται στην πραγματική ζωή και ότι υπάρχει διαθέσιμη ενημέρωση κώδικα…

…τότε είναι επείγον θέμα Επιδιορθώστε νωρίς/Επιθέστε συχνά!

Πηγαίνετε στο ρυθμίσεις > General > Ενημέρωση λογισμικού, και ελέγξτε ότι έχετε iOS 12.5.6.

Εάν δεν έχετε λάβει ακόμη την ενημέρωση αυτόματα, πατήστε Λήψη και εγκατάσταση για να ξεκινήσετε αμέσως τη διαδικασία:

---