Apple vetää hiljaa uusimman nollapäiväpäivityksensä – mitä nyt?

Apple vetää hiljaa uusimman nollapäiväpäivityksensä – mitä nyt?

Aikaleima: 11. heinäkuuta 2023 klo 11
Apple vetää hiljaa uusimman nollapäiväpäivityksensä – mitä nyt? PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.
by Paul Ducklin

Betteridgen otsikoiden laki vaatii, että mihin tahansa kysymykseksi esitettyyn otsikkoon voidaan vastata välittömästi yksinkertaisella "ei".

Ilmeisesti tämän nokkeluuden taustalla oleva teoria (se ei itse asiassa ole laki, ei vielä sääntö, eikä edes itse asiassa mikään muu kuin ehdotus) on se, että jos kirjoittaja tietäisi mistä puhuu ja hänellä olisi todellisia todisteita väitteensä tueksi, he olisivat kirjoittaneet otsikon laimentamattomaksi tosiasiaksi.

No, emme ole Naked Securityn toimittajia, joten onneksi tämä laki ei sido meitä.

Häikäilemätön vastaus omaan kysymykseemme yllä olevassa otsikossa on, "Kukaan ei tiedä, paitsi Apple, eikä Apple sano."

Parempi, mutta toki keskitie vastaus on, "Odota niin näet."

Nopeat vastaukset

Tämä tarina alkoi myöhään eilen, 2023-06-10 Ison-Britannian aikaa, kun me innoissamme [tarkoitatko "kiinnittyneesti?" – Toim.] kirjoitti neuvon Applesta toiseksi koskaan Rapid Security Response (RSR):

Nämä RSR:t ovat, kuten mekin selitetty aiemmin, Applen pyrkimys toimittaa yksittäisiä hätäkorjauksia yhtä nopeasti kuin hyvin hallinnoidut avoimen lähdekoodin projektit yleensä tekevät, jolloin nollapäivän korjaustiedostot ilmestyvät usein päivän tai kahden sisällä ongelman löytämisestä ja päivityksiä seuraavien päivitysten jälkeen. nopeasti, jos lisätutkimukset paljastavat lisäongelmia, jotka kaipaavat korjausta.

Yksi syy avoimen lähdekoodin hankkeisiin voi käyttää tällaista lähestymistapaa on se, että ne tarjoavat yleensä lataussivun, joka sisältää jokaisen virallisesti julkaistun version täyden lähdekoodin, joten jos kiirehdit ottamaan uusimmat korjaukset käyttöön tunneissa, ei päivissä tai päivissä. viikkoja, ja ne eivät toimi, ei ole estettä palata edelliseen versioon ennen kuin korjaus on valmis.

Applen virallinen päivityspolku, ainakin sen mobiililaitteille, on kuitenkin aina ollut täydellisten järjestelmätason korjaustiedostojen toimittaminen, joita ei voi koskaan palauttaa, koska Apple ei pidä ajatuksesta, että käyttäjät alentavat tietoisesti omia järjestelmiään hyödyntää vanhoja bugeja omien laitteidensa murtamiseen tai vaihtoehtoisten käyttöjärjestelmien asentamiseen.

Tämän seurauksena, vaikka Apple tuotti hätäkorjauksia yhden tai kahden bugin korjauksiin nollapäivän aukkoihin, joita jo aktiivisesti hyödynnettiin, yrityksen täytyi keksiä (ja sinun piti uskoa siihen), mikä oli olennaisesti yksisuuntainen parantaa, vaikka tarvitsit vain minimalistia päivitys järjestelmän yhteen osaan selvän ja olemassa olevan vaaran korjaamiseksi.

Aloita RSR-prosessi sallien nopeat korjaustiedostot, jotka voit asentaa kiireessä, jotka eivät edellytä puhelimen siirtämistä offline-tilaan 15–45 minuutiksi toistuvien uudelleenkäynnistysten ajaksi ja jotka voit myöhemmin poistaa (ja asentaa uudelleen, poistaa ja niin edelleen), jos päätät, että parannus oli pahempi kuin sairaus.

RSR:n kautta tilapäisesti korjatut virheet korjataan pysyvästi seuraavassa täyden version päivityksessä…

…jotta RSR:t eivät tarvitse tai saa kokonaan uutta omaa versionumeroa.

Sen sijaan he saavat sarjakirjaimen liitteenä, jolloin ensimmäinen nopea tietoturvavastaus iOS 16.5.1:lle (joka julkaistiin eilen) näytetään Asetukset > general > Meistä as 16.5.1 (a).

(Emme tiedä mitä tapahtuu, jos sarja koskaan menee ohi (z), mutta olisimme valmiita ottamaan pienen panoksen vastauksesta (aa), tai ehkä (za) jos aakkosjärjestystä pidetään tärkeänä.)

Täällä tänään, poissa huomenna

Joka tapauksessa vain muutama tunti sen jälkeen, kun neuvoimme kaikkia hankkimaan iOS ja iPadOS 16.5.1 (a), koska se korjaa Applen WebKit-koodin nollapäivän hyväksikäytön, ja siksi sitä voidaan melkein varmasti käyttää väärin haittaohjelmien, kuten vakoiluohjelmien asentamisen tai kaappaaminen, takia. yksityisiä tietoja puhelimestasi…

…kommentoijat (erityinen kiitos John Michael Leslielle, joka posted Facebook-sivullamme) alkoivat raportoida, että päivitys ei enää näkynyt, kun niitä käytettiin Asetukset > general > ohjelmistopäivitys yrittää päivittää laitteitaan.

Applen oma suojausportaali listaa edelleen [2023-07-11T15:00:00Z] uusimmat päivitykset muodossa macOS 13.4.1 (a) ja iOS/iPadOS 16.5.1 (a), päivätty 2023-07-10, ilman huomautuksia siitä, onko ne virallisesti jäädytetty vai ei.

Mutta raportit MacRumors-sivuston kautta ehdottaa, että päivitykset on peruutettu toistaiseksi.

Yksi ehdotettu syy on se, että Applen Safari-selain tunnistaa nyt itsensä verkkopyynnöissä User-Agent-merkkijonolla, joka sisältää liitteen (a) sen versionumerossa.

Näin näimme, kun osoitimme iOS:n päivitetyn Safari-selaimemme kuuntelevaan TCP-liitäntään (muotoiltu rivinvaihdoilla luettavuuden parantamiseksi):

$ ncat -vv -l 9999 Ncat: Versio 7.94 ( https://nmap.org/ncat ) Ncat: Kuuntele :::9999 Ncat: Kuuntele 0.0.0.0:9999 Ncat: Yhteys 10.42.42.1. Ncat: Yhteys alkaen 10.42.42.1:13337. GET / HTTP/1.1 Isäntä: 10.42.42.42:9999 Upgrade-Insecure-Requests: 1 Hyväksy: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1, kuten Mac OS X) AppleWebKit/605.1.15 (KHTML, kuten Gecko) Versio/16.5.2 (a) Mobile/15E148 Safari/604.1 Hyväksy-kieli: en-GB,en; q=0.9 Hyväksy-koodaus: gzip, deflate Yhteys: säilytä elossa NCAT DEBUG: Suljetaan fd 5.

Joidenkin MacRumors-kommentaattorien mukaan se Version/ merkkijono, joka koostuu tavallisista numeroista ja pisteistä sekä oudosta ja odottamattomasta tekstistä hakasulkeissa, hämmentää joitakin verkkosivustoja.

(Ironista kyllä, sivustot, joita olemme nähneet syytettyinä tässä näennäisesti version-string-misparsing-blame-pelissä, näyttävät kaikki olevan palveluita, joita käytetään paljon useammin omistetuilla sovelluksilla kuin selaimen kautta, mutta teoria näyttää olevan, että ne ilmeisesti tukehtua siihen 16.5.2 (a) versiotunniste, jos päätät vierailla heillä Safarin päivitetyn version kanssa.)

Mitä tehdä?

Tarkkaan ottaen vain Apple tietää, mitä täällä tapahtuu, eikä se kerro. (Ei ainakaan virallisesti sen tietoturvaportaalin kautta (HT201222) tai sen Tietoja nopeista turvatoimista sivu (HT201224.)

Suosittelemme, että jos sinulla on jo päivitys, et poista sitä, ellei se aidosti häiritse kykyäsi käyttää puhelintasi työhön tarvittavien verkkosivustojen tai sovellusten kanssa tai ellei oma IT-osastosi nimenomaisesti kehota sinua peruuttamaan macOS:n, iOS:n tai iPadOS:n "ei-(a)" -makuihin.

Loppujen lopuksi tämä päivitys katsottiin sopivaksi nopeaan reagointiin, koska sen korjaama hyväksikäyttö on luonnossa oleva selainpohjainen etäkoodin suorittamisen (RCE) aukko.

Jos tarvitset tai haluat poistaa RSR:n, voit tehdä näin:

  • Jos sinulla on iPhone tai iPad. Mene Asetukset > general > Meistä > iOS/iPadOS-versio Ja valitse Poista suojausvastaus.
  • Jos sinulla on Mac. Mene Järjestelmäasetukset > general > Meistä Ja napsauta (i) -kuvake otsikon lopussa macOS Ventura.

Huomaa, että asensimme RSR:n heti macOS Ventura 13.4.1:een ja iOS 16.5.1:een, eikä meillä ole ollut ongelmia selata tavallisia verkkopaikkojamme Safarin tai Edgen kautta. (Muista, että kaikki selaimet käyttävät WebKitiä Applen mobiililaitteissa!)

Siksi emme aio poistaa päivitystä, emmekä ole halukkaita tekemään niin kokeellisesti, koska meillä ei ole aavistustakaan, pystymmekö asentamaan sen uudelleen myöhemmin.

Kommentoijat ovat ehdottaneet, että korjaustiedostoa ei yksinkertaisesti saada ilmoitusta, kun he yrittävät korjata päivityksen laitteelta, mutta emme ole yrittäneet korjata aiemmin korjattua laitetta nähdäksemme, antaako se sinulle taikalipun päivityksen hakemiseen.

Yksinkertaisesti sanottuna:

  • Jos olet jo ladannut macOS 13.4.1 (a) tai iOS/iPadOS 16.5.1 (a), Säilytä päivitys, ellei sinun ole ehdottomasti päästävä siitä eroon, koska se suojaa sinua nollapäivältä.
  • Jos asensit sen ja todella tarvitset tai haluat poistaa sen, katso yllä olevat ohjeet, mutta oleta, että et voi asentaa sitä myöhemmin uudelleen, ja siksi asetat itsesi alla olevaan kolmanteen luokkaan.
  • Jos et ole vielä saanut sitä, katso tämä tila. Oletamme, että (a) korjaustiedosto korvataan nopeasti a (b) korjaustiedoston, koska näiden "kirjaimien päivitysten" idea on, että ne on tarkoitettu nopeiksi vastauksiksi. Mutta vain Apple tietää varmasti.

Korjaamme tavanomaisia ​​eilisen neuvomme sanomalla: Älä viivyttele; tee se heti, kun Apple ja laitteesi sallivat sen.

Aikaleima:

Lisää aiheesta Naked Security