Säännölliset lukijat tietävät kaksi asiaa asenteestamme Applen tietoturvakorjauksiin:
- Haluamme saada ne mahdollisimman pian. Olipa kyseessä täysversiopäivitys, joka sisältää myös joukon tietoturvakorjauksia, tai pistejulkaisu (jossa vasemmanpuoleinen versionumero ei muutu), jonka ensisijaisena tarkoituksena on korjata virheitä uusien ominaisuuksien lisäämisen sijaan, erehdymme mieluummin Tunnettujen tietoturvakorjausten soveltaminen on parempi kuin jättää laitteihimme aukkoja, joista hyökkääjät ovat nyt tietoisia, vaikka he eivät vielä tietäisikään, kuinka niitä voidaan hyödyntää.
- Siitä huolimatta pidämme erittäin usein Applen tiedotteita hämmentävänä. Et esimerkiksi koskaan tiedä, missä olet, jos olet jumissa versiossa, joka ei saanut päivitystä tällä kertaa.
Applen uusimmat tietoturvatiedotteet, jotka julkaistiin aiemmin tällä viikolla, näyttävät olevan esimerkki siitä, kuinka yritys näyttää joskus lisäävän hämmennystä sanomalla liian vähän… mikä ei ole aina iloinen vaihtoehto liiallisen selvittämiselle:
Ilmeinen hämmennys
Viime päivinä lukijoilta saamiemme tiedustelujen ja kommenttien perusteella ilmeni seuraava hämmennys:
- Miksi yhdessä tietoturvatiedotteessa kuvattiin iOS 16.1- ja iPadOS 16 -päivityksiä? Tiedämme, että iPadOS 16 viivästyi, joten tämä äskettäinen päivitys tarkoitti sitä, että iPadOS korjattiin nyt vain samalle suojaustasolle kuin iOS 16, joka julkaistiin yli kuukausi sitten, kun taas iOS edistyi 16.1:een, joten iPadOS:stä jäi yli kuukausi sitten. viisi viikkoa ajelehtimassa kyberturvallisuuden kannalta?
- Miksi iPadOS 16 ilmoitti lopulta olevansa versio 16.1? (Kiitos belgialainen Stefaan, joka otti kuvakaappauksia iPadin päivitysprosessista ja lähetti ne.) Päivityksen jälkeen
Aboutnäytöllä ilmeisesti lukee iPadOS 16, kuten tietoturvatiedotteessa, kun taasiPadOS VersionNäytössä lukee nimenomaisesti 16.1. Vaikuttaa siltä, että iPhonet ja iPadit eivät nyt vain tue "versioperhettä, joka tunnetaan nimellä 16", vaan molemmissa on myös viimeisimmät tietoturvakorjaukset, joten miksi ei vain kutsuttaisi molempia versioksi 16.1 kaikkialla selvyyden vuoksi, myös tietoturvatiedotteessa ja päälläAboutnäyttö? - Mihin macOS 10 Catalina katosi? Perinteisesti Apple luopuu macOS-version X-3 tuesta, kun versio X julkaistaan, mutta tämä on todellinen selitys sille, miksi macOS 11 Big Sur ja macOS 12 Monterey (versiot X-2 ja X-1, vastaavasti) saivat päivitykset, kun taas Catalina ei. t?
- Mitä tapahtui iOS/iPadOS 15.7.1:lle? Kun iOS 16 tuli ulos syyskuussa 2022 myös edellinen versioperhe sai kriittisiä päivityksiä, jotka nostivat sen versioon 15.7. Tähän sisältyi kriittinen korjaus a ydintason nollapäivän aukko aktiivisen hyväksikäytön alaisena, mikä usein tarkoittaa "joku siellä hiipii vakoiluohjelmia iPhoneen, ihmiset". Joten, koska iOS 16.1 sisältyy Vielä toinen ytimen nollapäiväkorjaus, ehkä sulkemalla väylän, jota yhä useammat vakoiluohjelmat käyttävät hyväkseen, missä oli vastaava korjaustiedosto iOS/iPadOS 15 -perheelle, jonka analogisesti olettaisit olevan 15.7.1?
Kuten sanoimme eilinen podcast, joka kohtasi yllä olevan huolestuneen lukijan neljännen kysymyksen, lyhyt vastauksemme oli yksinkertaisesti: "DUCK: En tiedä./DOUG: Selkeää kuin muta."
Joskus käyttöjärjestelmän version X tietoturvavirheet eivät yksinkertaisesti koske versiota X-1, esimerkiksi koska virheet ovat koodissa, joka on vain lisätty tai vain altistunut vaaralle uudemmissa julkaisuissa.
Mutta olemme myös nähneet, että Apple ei pysty tuottamaan päivityksiä aikaisempiin versioihin kahdesta muusta syystä, joko [a] koska päivitystä todella tarvitaan, mutta se osoittautui liian hankalaksi valmistautua ja testata ajoissa, tai [b] koska aiemman version katsottiin nyt olevan tuen ulkopuolella, eikä se saanut päivitystä, olipa se tarpeen tai ei.
Ja koska Applen tietoturvatiedotteet kertovat melkein aina vain saatavilla olevista korjaustiedostoista, säännöllisesti puuttuvat päivitykset jäävät selittämättömäksi (ja selittämättömäksi) mysteeriksi.
Hirmu tiedotteita
No, tänä aamuna saimme Applelta 15 tietoturvatiedote-sähköpostia, joista useimmat sisältävät monia CVE-numeroituja bugeja ja tietoturvaongelmia, jotka on raportoitu tiedotteissa, jotka olemme nähneet jo aiemmin tällä viikolla.
Mikään heistä ei selventänyt suoraan yllä olevia kolmea ensimmäistä kysymystä, vaikka oletamme nyt, että syy siihen, että Apple viittasi "iPadOS 16:een" sekä "iPadOS 16.1:een", oli mahdollisesti harhaanjohtava yritys välittää tietoa siitä, että iPadOS sai nyt myöhässä. parantaa versioperheeseen 16, sekä hankkiminen päivitys vastaavat tietoturvakorjaukset uuteen iOS 16.1:een.
Mutta aivan ensimmäinen tiedote Applen viimeisimmässä salossa ratkaisi viimeisen yllä mainitun kysymyksen julkistamalla iOS/iPadOS 15.7.1:n, joka osoittautui kriittinen korjaus:
APPLE-SA-2022-10-27-1: iOS 15.7.1 ja iPadOS 15.7.1 iOS 15.7.1 ja iPadOS 15.7.1 korjaavat seuraavat ongelmat. Tietoa suojaussisällöstä on myös osoitteessa https://support.apple.com/HT213490. [. . .] Ydin Saatavilla: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad 5. sukupolvi ja uudemmat, iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi) Vaikutus: Sovellus saattaa pystyä suorittaa mielivaltaisen koodin ytimen oikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti. Kuvaus: Rajojen ulkopuolinen kirjoitusongelma on korjattu parantamalla rajojen tarkistusta. CVE-2022-42827: anonyymi tutkija
Joten iOS/iPadOS 15 on edelleen tuettu, ja jos et onnistunut päivittämään iOS 16.1:een (tai schismisesti nimettyyn iPadOS 16-se-on-so-16.1) aiemmin tällä viikolla…
… silloin sinun pitäisi varmistaa hanki iOS/iPadOS 15.7.1 heti, koska iOS 2022:ssä korjattu ytimen nollapäiväreikä CVE-42827-16.1 on siellä iOS/iPadOS 15.7:ssä, aktiivisessa käytössä.
Toisin sanoen tämä oli yksi niistä tapauksista, joissa syynä muutaman päivän päivityksen puuttumiseen oli lähes varmasti yksinkertaisesti se, että korjaukset eivät olleet valmiita ajoissa.
Mitä tehdä?
TL;DR, jos käytät iPhonea tai iPadia: Jos käytät edelleen iOS-/iPadOS-pääversiota 15, siirry osoitteeseen Asetukset > general > Security Update heti.
Tarkista, vaikka automaattiset päivitykset olisivat käytössä, ja muista paitsi hyväksyä lataus, jos sinulla ei vielä ole sitä, myös pakottaa laitteesi asennusvaiheeseen, joka vaatii yhden tai useamman uudelleenkäynnistyksen (ja tekee, ota tietysti puhelin tai tabletti offline-tilaan hetkeksi).
TL;DR, jos olet Apple: hieman enemmän selkeyttä auttaisi paljon tietoturvatiedotteissa, varsinkin kun tiedät joko, että tärkeä päivitys on aikaisempien versioiden käyttäjien siivet tai että he eivät tarvitse päivitystä, koska se ei vaikuta heidän versioonsa.
Muuten, jos päätit siirtyä iOS/iPadOS 16.1:een aiemmin tällä viikolla, varmuuden vuoksi…
…et voi nyt palata iOS/iPadOS 15.7.1:een, koska Apple ei salli päivitystä.
(Alennukset helpottavat jailbreakingia, jonka Apple pyrkii estämään, ja joka tapauksessa vaatisi ensin täydellisen tietojen pyyhkimisen, jotta alenevaa versiota ei käytetä pahantahtoisena "tuo oma bugisi" -suojauksen ohituskeino henkilökohtaisten tietojen suodattamiseen.)
- omena
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- CVE-2022-42827
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- iPad
- iPhone
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- spyware
- VPN
- alttius
- verkkosivuilla turvallisuus
- zephyrnet
- Zero Day
