Apple sort silencieusement sa dernière mise à jour zero-day – et maintenant ?

La loi des titres de Betteridge insiste sur le fait que tout titre posé comme une question peut recevoir instantanément une réponse par un simple « non ».

Apparemment, la théorie derrière ce mot d'esprit (ce n'est pas vraiment une loi, ni encore une règle, ni même en fait quelque chose de plus qu'une suggestion) est que si l'auteur savait de quoi il parlait et avait des preuves réelles pour étayer son cas, ils auraient écrit le titre comme un fait non dilué.

Eh bien, nous ne sommes pas des journalistes ici sur Naked Security, donc heureusement nous ne sommes pas liés par cette loi.

La réponse impitoyable à notre propre question dans le titre ci-dessus est, "Personne ne le sait sauf Apple, et Apple ne le dit pas."

Une meilleure réponse, mais certes intermédiaire, est la suivante : "Attend et regarde."

Réponses rapides

Cette histoire a commencé tard hier, à la fin du 2023/06/10, heure du Royaume-Uni, lorsque nous [tu veux dire 'avec excitation?' – Ed.] a écrit un avis sur Apple deuxième Réponse de sécurité rapide (RSR) :

Ces RSR sont, comme nous expliqué précédemment, l'effort d'Apple pour fournir des correctifs d'urgence à problème unique aussi rapidement que le font généralement les projets open source bien gérés, où les correctifs de jour zéro sortent souvent un jour ou deux après la découverte d'un problème, avec des mises à jour des mises à jour qui suivent rapidement si d'autres enquêtes révèlent d'autres problèmes qui doivent être résolus.

L'une des raisons pour lesquelles les projets open source peuvent adopter ce type d'approche est qu'ils fournissent généralement une page de téléchargement avec le code source complet de chaque version officiellement publiée, de sorte que si vous vous précipitez pour adopter les derniers correctifs en quelques heures, plutôt qu'en jours ou semaines, et qu'ils ne fonctionnent pas, il n'y a aucun obstacle à revenir à la version précédente jusqu'à ce que le correctif pour le correctif soit prêt.

Cependant, la voie de mise à niveau officielle d'Apple, du moins pour ses appareils mobiles, a toujours consisté à fournir des correctifs complets au niveau du système qui ne peuvent jamais être annulés, car Apple n'aime pas l'idée que les utilisateurs rétrogradent délibérément leurs propres systèmes afin de exploiter d'anciens bogues dans le but de jailbreaker leurs propres appareils ou d'installer des systèmes d'exploitation alternatifs.

En conséquence, même lorsqu'Apple produisait des correctifs d'urgence à un ou deux bogues pour les failles du jour zéro qui étaient déjà activement exploitées, l'entreprise devait proposer (et vous deviez y croire) ce qui était essentiellement un Sens Unique améliorer, même si tout ce dont vous aviez vraiment besoin était un minimalisme Mise à jour à un composant du système pour réparer un danger clair et présent.

Entrez dans le processus RSR, permettant des correctifs rapides que vous pouvez installer rapidement, qui ne vous obligent pas à mettre votre téléphone hors ligne pendant 15 à 45 minutes de redémarrages répétés, et que vous pouvez ensuite supprimer (et réinstaller, supprimer, et ainsi de suite) si vous décidez que le remède était pire que le mal.

Les bogues corrigés temporairement via un RSR seront corrigés de manière permanente dans la prochaine mise à jour de la version complète…

… afin que les RSR n'aient pas besoin ou n'obtiennent pas leur propre numéro de version.

Au lieu de cela, ils reçoivent une lettre de séquence ajoutée, de sorte que la première réponse de sécurité rapide pour iOS 16.5.1 (qui est sortie hier) s'affiche dans Paramètres > Général > A Propos as 16.5.1 (a).

(Nous ne savons pas ce qui se passe si la séquence passe un jour (z), mais nous serions prêts à prendre un petit pari sur la réponse étant (aa), ou peut-être (za) si le tri alphabétique est considéré comme important.)

Ici aujourd'hui, parti demain

Quoi qu'il en soit, quelques heures seulement après avoir conseillé à tout le monde d'obtenir iOS et iPadOS 16.5.1 (a), car il corrige un exploit zero-day dans le code WebKit d'Apple et pourrait donc presque certainement être abusé pour des malveillances malveillantes telles que l'implantation de logiciels espions ou la capture données privées de votre téléphone…

… commentateurs (remerciements particuliers à John Michael Leslie, qui posté sur notre page Facebook) ont commencé à signaler que la mise à jour ne s'affichait plus lorsqu'ils utilisaient Paramètres > Général > Mise à jour du logiciel pour essayer de mettre à jour leurs appareils.

Propre à Apple portail de sécurité répertorie toujours [2023-07-11T15:00:00Z] les mises à jour les plus récentes comme macOS 13.4.1 (a) ainsi que iOS/iPadOS 16.5.1 (a), daté du 2023/07/10, sans aucune note indiquant s'ils ont été officiellement suspendus ou non.

Mais rapports via le site MacRumors suggèrent que les mises à jour ont été retirées pour le moment.

L'une des raisons suggérées est que le navigateur Safari d'Apple s'identifie désormais dans les requêtes Web avec une chaîne User-Agent qui inclut l'appendice (a) dans son numéro de véraison.

Voici ce que nous avons vu lorsque nous avons pointé notre navigateur Safari mis à jour sur iOS vers un socket TCP en écoute (formaté avec des sauts de ligne pour améliorer la lisibilité) :

$ ncat -vv -l 9999 Ncat : Version 7.94 ( https://nmap.org/ncat ) Ncat : Écoute sur :::9999 Ncat : Écoute sur 0.0.0.0:9999 Ncat : Connexion depuis 10.42.42.1. Ncat : Connexion depuis 10.42.42.1:13337. GET / HTTP/1.1 Hôte : 10.42.42.42:9999 Upgrade-Insecure-Requests : 1 Accept : text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent : Mozilla/5.0 (iPhone ; CPU iPhone OS 16_5_1 comme Mac OS X) AppleWebKit/605.1.15 (KHTML, comme Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1 Accept-Language : en-GB,en ; q=0.9 Accept-Encoding : gzip, deflate Connection : keep-alive NCAT DEBUG : Closing fd 5.

Selon certains commentateurs de MacRumors, cela Version/ chaîne de caractères, composée des chiffres et des points habituels ainsi que d'un texte étrange et inattendu entre parenthèses, déroute certains sites Web.

(Ironiquement, les sites que nous avons vus blâmés dans ce jeu apparemment version-string-misparsing-blame-game semblent tous être des services auxquels on accède beaucoup plus couramment par des applications dédiées que via un navigateur, mais la théorie semble être qu'ils semblent s'étouffer avec ça 16.5.2 (a) identifiant de version si vous décidez de les visiter avec une version mise à jour de Safari.)

Que faire?

À proprement parler, seul Apple sait ce qui se passe ici, et ce n'est pas dit. (Du moins, pas officiellement via son portail de sécurité (HT201222) ou son À propos des réponses de sécurité rapides Page (HT201224.)

Nous vous suggérons, si vous disposez déjà de la mise à jour, de ne pas la supprimer à moins qu'elle n'interfère véritablement avec votre capacité à utiliser votre téléphone avec les sites Web ou les applications dont vous avez besoin pour le travail, ou à moins que votre propre service informatique ne vous dise explicitement de revenir en arrière. à la saveur "non-(a)" de macOS, iOS ou iPadOS.

Après tout, cette mise à jour a été jugée appropriée pour une réponse rapide car l'exploit qu'elle corrige est un trou d'exécution de code à distance (RCE) basé sur un navigateur.

Si vous avez besoin ou souhaitez supprimer le RSR, vous pouvez le faire :

• Si vous avez un iPhone ou un iPad. Cliquez sur Paramètres > Général > A Propos > Version iOS/iPadOS et choisissez Supprimer la réponse de sécurité.
• Si vous avez un Mac. Cliquez sur Les paramètres du système > Général > A Propos Et cliquez sur le (i) icône à la fin de l'élément intitulé macos ventura.

Notez que nous avons installé le RSR tout de suite sur macOS Ventura 13.4.1 et iOS 16.5.1, et n'avons eu aucun problème pour naviguer vers nos sites Web habituels via Safari ou Edge. (N'oubliez pas que tous les navigateurs utilisent WebKit sur les appareils mobiles Apple !)

Par conséquent, nous n'avons pas l'intention de supprimer la mise à jour, et nous ne souhaitons pas le faire à titre expérimental, car nous ne savons pas si nous pourrons la réinstaller par la suite.

Les commentateurs ont suggéré que le correctif n'est tout simplement pas signalé lorsqu'ils essaient à partir d'un appareil non corrigé, mais nous n'avons pas essayé de re-corriger un appareil précédemment corrigé pour voir si cela vous donne un ticket magique pour récupérer à nouveau la mise à jour.

Tout simplement:

• Si vous avez déjà téléchargé macOS 13.4.1 (a) ou iOS/iPadOS 16.5.1 (a), conservez la mise à jour à moins que vous ne deviez absolument vous en débarrasser, étant donné qu'elle vous protège contre un trou du jour zéro.
• Si vous l'avez installé et que vous avez vraiment besoin ou voulez le supprimer, consultez nos instructions ci-dessus, mais supposez que vous ne pourrez pas le réinstaller plus tard et que vous vous placerez donc dans la troisième catégorie ci-dessous.
• Si vous ne l'avez pas encore, surveillez cet espace. Nous devinons que le (a) patch sera rapidement remplacé par un (b) patch, car l'idée même de ces "mises à jour lettrées" est qu'elles sont censées être des réponses rapides. Mais seul Apple le sait avec certitude.

Nous allons corriger nos conseils habituels d'hier en disant : Ne tardez pas; faites-le dès qu'Apple et votre appareil vous le permettront.

---

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/