Applen megapäivitys: Ventura out, iOS- ja iPad-ytimen nollapäivä – toimi nyt!

Applen uusin kokoelma tietoturvapäivityksiä on saapunut, mukaan lukien juuri lanseeratut macOS 13 Adventure, johon liittyi omansa tietoturvatiedotteen luetellaan huikeat 112 CVE-numeroitua turva-aukkoa.

Näistä laskimme 27 mielivaltaista koodin suoritusreikiä, joista 12 mahdollistaa väärän koodin syöttämisen suoraan ytimeen ja yksi sallii epäluotettavan koodin suorittamisen järjestelmäoikeuksilla.

Tämän lisäksi Venturalle on listattu kaksi EoP-virhettä, joita voidaan käyttää yhdessä joidenkin, monien tai kaikkien jäljellä olevien 14 ei-järjestelmäkoodin suoritusvirheen kanssa muodostamaan hyökkäysketjun, joka muuttaa käyttäjätason koodin suoritushyödynnyksen järjestelmätason hyväksikäytöksi.

iPhone ja iPad todellisessa riskissä

Se ei kuitenkaan ole tämän tarinan kriittisin osa.

"Selkeä ja olemassa oleva vaara" -palkinto menee iOS ja iPad, Joka saada päivitettyäsi versioon 16.1 ja 16 vastaavasti, jos jokin luetelluista tietoturvahaavoittuvuuksista sallii ydinkoodin suorittamisen mistä tahansa sovelluksesta ja sitä hyödynnetään jo aktiivisesti.

Lyhyesti sanottuna iPhonet ja iPadit tarvitsevat korjauksen välittömästi, koska a ytimen nollapäivä.

Apple ei ole kertonut, mikä kyberrikollisryhmä tai vakoiluohjelmayritys käyttää väärin tätä bugia. CVE-2022-42827, mutta kun otetaan huomioon korkea hinta, jonka toimiva iPhone zero-days -komento kyberalamaailmassa, oletamme, että kuka tahansa, jolla on hallussaan tämä hyväksikäyttö [a] tietää, miten se saadaan toimimaan tehokkaasti, ja [b] ei todennäköisesti kiinnitä siihen huomiota itse. , jotta olemassa olevat uhrit pysyisivät mahdollisimman paljon pimeässä.

Apple on ravinnut ulos tavanomaisen kattilahuomautuksensa siitä, että yritys "on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti", ja siinä kaikki.

Tästä johtuen emme voi tarjota sinulle neuvoja oman laitteen hyökkäyksen merkkien tarkistamiseen – emme ole tietoisia mistään ns. IoC:stä (kompromissin indikaattorit), kuten outoja tiedostoja varmuuskopiossasi, odottamattomia kokoonpanomuutoksia tai epätavallisia lokitiedostomerkintöjä, joita saatat pystyä etsimään.

Ainoa suosituksemme on siksi tavallinen kehotus korjata aikaisin/korjaa usein, suuntaamalla osoitteeseen Asetukset > general > ohjelmistopäivitys ja valitsemalla Lataa ja asenna jos et ole jo saanut korjauksia.

Miksi odottaa, että laitteesi löytää ja ehdottaa itse päivitykset, kun voit hypätä jonon päähän ja hakea ne heti?

Catalina putosi?

Kuten saatat olettaa, koska Venturan julkaisu vie macOS:n versioon 13, kolme versiota sitten vanha macOS 10 Catalina ei tällä kertaa näy luettelossa.

Apple tarjoaa yleensä tietoturvapäivityksiä vain macOS:n aikaisempiin ja sitä edeltäviin versioihin, ja näin korjaukset pelattiin täällä, ja korjauksia on otettava MacOS 11 Big Sur versioon 11.7.1ja macOS 12 Monterey versioon 12.6.1.

Nämä versiot saavat kuitenkin myös a erillinen päivitys lueteltu nimellä Safari 16.1, joka korjaa useita vaaralliselta kuulostavia virheitä Safarissa ja sen taustalla olevassa ohjelmistokirjastossa WebKit.

Muista, että WebKitiä käyttävät Safarin lisäksi kaikki muut sovellukset, jotka luottavat Applen taustalla olevaan koodiin kaikenlaisen HTML-pohjaisen sisällön näyttämiseen, mukaan lukien ohjejärjestelmät, Tietoja-näytöt ja sisäänrakennetut "miniselaimet", joita yleensä nähdään viesteissä. sovelluksia, jotka tarjoavat mahdollisuuden tarkastella HTML-tiedostoja, sivuja tai viestejä.

omena KATSO ja tvOS myös lukuisia korjauksia, ja niiden versionumerot päivitetään Watch 9.1 ja tvOS 16.1 vastaavasti.

Mitä tehdä?

Hyvä uutinen on, että vain varhaiset käyttäjät ja ohjelmistokehittäjät käyttävät todennäköisesti jo Venturaa osana Applen beta-ekosysteemiä.

Näiden käyttäjien tulee päivittää mahdollisimman pian odottamatta järjestelmän muistutusta tai automaattisen päivityksen käynnistymistä, koska korjattujen virheiden määrä on suuri.

Jos et ole Venturassa, mutta aiot päivittää heti, ensimmäinen kokemuksesi uudesta versiosta sisältää automaattisesti yllä mainitut 112 CVE-korjauspäivitykset, joten versio parantaa sisältää automaattisesti tarvittavan suojauksen päivitykset.

Jos aiot käyttää edellistä tai aikaisempaa macOS-versiota vielä jonkin aikaa (tai jos sinulla on kuten meillä vanhempi Mac, jota ei voi päivittää), älä unohda, että tarvitset kaksi päivitystä: toinen Big Surille tai Montereylle ja toinen Safarille, joka on sama molemmille käyttöjärjestelmille.

Yhteenvetona:

• iOS- tai iPad-käyttöjärjestelmässä käyttää kiireellisesti Asetukset > general > ohjelmistopäivitys
• macOS:ssä, käyttää Omenavalikko > Tietoja tästä Macista > Ohjelmistopäivitys…
• macOS 13 Ventura Beta käyttäjien tulee päivittää välittömästi koko julkaisuun.
• Big Surin ja Montereyn käyttäjät jotka päivittävät Venturaan, saavat macOS 13 -tietoturvakorjaukset samaan aikaan.
• MacOS 11 Big Sur menee 11.7.1, ja tarpeet Safari 16.1 samoin.
• macOS 12 Monterey menee 12.6.1, ja tarpeet Safari 16.1 samoin.
• KATSO menee 9.1.
• tvOS menee 16.1.

Huomaa, että macOS 10 Catalina ei saa päivityksiä, mutta oletamme sen johtuvan siitä, että se on Catalina-käyttäjien tien loppu, ei siksi, että se olisi edelleen tuettu, vaan se oli immuuni myöhemmissä versioissa löydetyille virheille.

Jos olemme oikeassa, Catalina-käyttäjät, jotka eivät voi päivittää Mac-tietokoneitaan, ovat juuttuneet käyttämään jatkuvasti vanhentuneempia Apple-ohjelmistoja tai vaihtamaan vaihtoehtoiseen käyttöjärjestelmään, kuten Linux-distroon, jota heidän laitteensa edelleen tuetaan.

Pikalinkit Applen tietoturvatiedotteisiin:

• APPLE-SA-2022-10-24-1: HT213489 iOS 16.1:lle ja iPadOS 16:lle
• APPLE-SA-2022-10-24-2: HT213488 macOS Ventura 13:lle
• APPLE-SA-2022-10-24-3: HT213494 macOS Monterey 12.6.1
• APPLE-SA-2022-10-24-4: HT213493 macOS Big Sur 11.7.1
• APPLE-SA-2022-10-24-5: HT213491 watchOS 9.1:lle
• APPLE-SA-2022-10-24-6: HT213492 tvOS 16.1:lle
• APPLE-SA-2022-10-24-7: HT213495 Safari 16.1

---