Tavalised lugejad teavad kahte asja meie suhtumise kohta Apple'i turvapaikadesse:
- Meile meeldib need hankida niipea kui võimalik. Olenemata sellest, kas tegemist on täisversiooni uuendusega, mis sisaldab ka hunnikut turvaparandusi, või punktiväljaannet (see, mille vasakpoolseim versiooni number ei muutu), mille peamine eesmärk on vigade parandamine, mitte uute funktsioonide lisamine, me pigem eksime. teadaolevate turvaparanduste rakendamine, kui jätta meie seadmetesse auke, millest ründajad on nüüd teadlikud, isegi kui nad ei tea, kuidas neid veel ära kasutada.
- Sellegipoolest leiame Apple'i bülletäänid väga sageli segadusttekitavatena. Näiteks ei tea te kunagi päris täpselt, kus te seisate, kui olete ummikus versiooniga, mida seekord ei värskendatud.
Apple'i uusimad turvabülletäänid, mis ilmusid selle nädala alguses, näivad olevat näide sellest, kuidas ettevõte näib mõnikord suurendavat segadust, öeldes liiga vähe… mis ei ole alati hea alternatiiv liiga palju teadasaamisele:
Tekkiv segadus
Viimastel päevadel lugejatelt saadud päringute ja kommentaaride põhjal ilmnes järgmine segadus:
- Miks kirjeldati ühes turvabülletäänis iOS 16.1 ja iPadOS 16 nimega värskendusi? Teame, et iPadOS 16 hilines, nii et see hiljutine värskendus tähendas, et iPadOS-i parandati nüüd ainult samale turbetasemele kui iOS 16, mis tuli välja rohkem kui kuu aega tagasi, samas kui iOS arenes tasemele 16.1, mis jättis iPadOS-i rohkem kui kuu aega tagasi. küberjulgeoleku mõttes viis nädalat kõrvale?
- Miks teatas iPadOS 16 end lõpuks versiooniks 16.1? (Täname Stefaani Belgiast oma iPadi värskendusprotsessist ekraanipiltide tegemise ja nende saatmise eest.) Pärast värskendamist
Aboutekraan ütleb ilmselt iPadOS 16, nagu turvabülletäänis, samas kuiiPadOS Versionekraan ütleb selgesõnaliselt 16.1. Tundub, et iPhone'id ja iPadid ei toeta nüüd mitte ainult „versiooniperekonda, mida tuntakse kui 16”, vaid mõlemal on ka uusimad turvaparandused, nii et miks mitte nimetada mõlemat versiooniks 16.1 kõikjal selguse huvides, sealhulgas turvabülletäänis. ja pealAboutekraan? - Kuhu kadus macOS 10 Catalina? Traditsiooniliselt loobub Apple MacOS-i versiooni X-3 toest, kui versioon X välja tuleb, kuid see on tegelik seletus, miks macOS 11 Big Sur ja macOS 12 Monterey (vastavalt versioonid X-2 ja X-1) said värskendusi, samas kui Catalina ei saanud. t?
- Mis juhtus iOS-i/iPadOS 15.7.1-ga? Kui iOS 16 tuli välja 2022. aasta septembris sai ka eelmine versiooniperekond kriitilisi uuendusi, viies selle versioonile 15.7. See hõlmas kriitilist parandust, et sulgeda a kerneli tasemel nullpäeva auk aktiivse ärakasutamise all, mis sageli tähendab "keegi hiilib iPhone'idesse nuhkvara, inimesed". Seega, arvestades, et iOS 16.1 sisaldab veel üks kerneli nullpäevaparandus, võib-olla sulgeda tee, mida kasutab ära veelgi rohkem nuhkvara, kus oli iOS/iPadOS 15 perekonna vastav plaaster, mis analoogia põhjal oleks 15.7.1?
Nagu me ütlesime eilne podcast, seistes silmitsi mureliku lugeja ülaltoodud neljanda küsimusega, oli meie lühike vastus lihtsalt: „DUCK: Ei tea./DOUG: Selge kui muda.”
Mõnikord ei kehti operatsioonisüsteemi versiooni X turbevead versiooni X-1 puhul, näiteks seetõttu, et vead esinevad koodis, mis lisati alles uuemates väljaannetes või ohustati ainult uuemates versioonides.
Kuid oleme näinud ka seda, et Apple ei suuda eelmiste versioonide jaoks värskendusi toota kahel muul põhjusel, kas [a] kuna värskendust on tõesti vaja, kuid see osutus liiga keeruliseks, et õigeks ajaks valmis saada ja testida, või [b] kuna Eelmist versiooni peeti nüüdseks toetuks ja see ei saanud värskendust, olenemata sellest, kas see on vajalik või mitte.
Ja kuna Apple'i turvabülletäänid räägivad teile peaaegu alati ainult praegu saadaolevatest paikadest, jäävad värskenduste puudumine regulaarselt seletamatuks (ja seletamatuks) mõistatuseks.
Hulk bülletääne
Täna hommikul saime Apple'ilt 15 turvabülletääni e-kirja, millest enamikus on loetletud paljud CVE-numbriga vead ja turvaprobleemid, millest teatati juba nädala alguses.
Ükski neist ei selgitanud otseselt kolme esimest ülaltoodud küsimust, kuigi nüüd eeldame, et Apple viitas nii "iPadOS 16-le" kui ka "iPadOS 16.1-le" võib-olla eksliku katse edastada teavet, et iPadOS sai nüüd oma hilinemisega. upgrade versiooniperekonnale 16, samuti saada an ajakohastama samaväärne turvaparandustega uuele iOS 16.1-le.
Kuid Apple'i viimase salve esimene bülletään lahendas viimase ülalloetletud küsimuse, kuulutades välja iOS/iPadOS 15.7.1, mis osutus kriitiline parandus:
APPLE-SA-2022-10-27-1: iOS 15.7.1 ja iPadOS 15.7.1 iOS 15.7.1 ja iPadOS 15.7.1 lahendavad järgmised probleemid. Teave turvasisu kohta on saadaval ka aadressil https://support.apple.com/HT213490. [. . .] Kernel Saadaval: iPhone 6s ja uuemad, iPad Pro (kõik mudelid), iPad Air 2 ja uuemad, iPad 5. põlvkond ja uuemad, iPad mini 4 ja uuemad ning iPod touch (7. põlvkond) Mõju: rakendus võib olla võimeline suvalise koodi käivitamiseks kerneli õigustega. Apple on teadlik aruandest, et seda probleemi võidi aktiivselt ära kasutada. Kirjeldus: piiridest väljapoole jääva kirjutamise probleem lahendati piiride täiustatud kontrollimisega. CVE-2022-42827: anonüümne teadlane
Niisiis, iOS/iPadOS 15 on endiselt toetatud ja kui te ei viitsinud nädala alguses versioonile iOS 16.1 (või skismilise nimega iPadOS 16-see-on-ka-16.1) üle minna...
…siis peaksite veenduma hankige kohe iOS/iPadOS 15.7.1, sest iOS 2022-s parandatud tuuma CVE-42827-16.1 nullpäeva auk on iOS-is/iPadOS 15.7-s, aktiivses kasutuses.
Teisisõnu, see oli üks neist juhtudest, kus mõne päeva taguse värskenduse puudumise põhjuseks oli peaaegu kindlasti lihtsalt see, et paigad polnud õigeks ajaks valmis.
Mida teha?
TL;DR, kui olete iPhone'i või iPadi kasutaja: kui kasutate endiselt iOS-i/iPadOS-i peamist versiooni 15, minge aadressile Seaded > Üldine > turbevärskendus kohe.
Kontrollige isegi seda, kas teil on automaatsed värskendused sisse lülitatud, ja ärge unustage mitte ainult allalaadimist kinnitada, kui teil seda veel pole, vaid ka sunnitud oma seade läbima installietapi, mis nõuab ühte või mitut taaskäivitamist (ja teeb, loomulikult võtke telefon või tahvelarvuti mõneks ajaks võrguühenduseta).
TL;DR, kui olete Apple: veidi suurem selgus aitaks turvabülletäänides palju edasi, eriti kui teate, et varasemate versioonide kasutajate jaoks on oluline värskendus või nad ei vaja värskendust, kuna see ei mõjuta nende versiooni.
Muide, kui otsustasite selle nädala alguses iOS-i/iPadOS-i 16.1 juurde hüpata, et olla ohutu…
…te ei saa nüüd naasta iOS-i/iPadOS-i 15.7.1 juurde, kuna Apple ei luba alandada versiooni.
(Alandamine hõlbustab vangimurdmist, mida Apple püüab ära hoida, ja igal juhul nõuaks esmalt täielik andmete kustutamine, et vältida alandamise kasutamist kuritahtliku "too ise viga" turvamöödapääsuna isikuandmete väljafiltreerimiseks.)
- õun
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- CVE-2022-42827
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- iPad
- iPhone
- Kaspersky
- malware
- mcafee
- Alasti turvalisus
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- nuhkvara
- VPN
- haavatavus
- kodulehel turvalisus
- sephyrnet
- Null päev
