A rendszeres olvasók két dolgot fognak tudni az Apple biztonsági javításaival kapcsolatos hozzáállásunkról:
- A lehető leghamarabb szeretnénk megszerezni őket. Legyen szó teljes verziófrissítésről, amely egy csomó biztonsági javítást is tartalmaz, vagy pont kiadásról (olyan, ahol a bal szélső verziószám nem változik), amelynek elsődleges célja a hibák javítása, nem pedig új funkciók hozzáadása, inkább tévedünk. Az ismert biztonsági javítások alkalmazásának az az oldala, mintha olyan lyukakat hagynánk az eszközeinken, amelyekkel a támadók már tisztában vannak, még akkor is, ha még nem tudják, hogyan használják ki azokat.
- Ennek ellenére nagyon gyakran találjuk zavarónak az Apple közleményeit. Például soha nem tudja pontosan, hol áll, ha elakad egy olyan verziónál, amely ezúttal nem kapott frissítést.
Az Apple legújabb biztonsági közleményei, amelyek megjelentek még a hét elején, úgy tűnik, azt példázzák, hogy a vállalat néha úgy tűnik, hogy növeli a zavart azzal, hogy túl keveset mond… ami nem mindig jó alternatíva a túl sok felfedezés helyett:
Kitörő zavarodottság
Az elmúlt napokban olvasóinktól kapott megkeresések és észrevételek alapján a következő zavarok merültek fel:
- Miért írta le egyetlen biztonsági közlemény az iOS 16.1 és iPadOS 16 elnevezésű frissítéseket? Tudjuk, hogy az iPadOS 16 késett, így ez a legutóbbi frissítés azt is jelentette, hogy az iPadOS már csak ugyanolyan biztonsági szintre lett javítva, mint az iOS 16, amely több mint egy hónapja jelent meg, miközben az iOS 16.1-re fejlődött, így az iPadOS több mint öt hét eltolódás a kiberbiztonság terén?
- Miért jelentette végül magát az iPadOS 16 16.1-es verzióként? (Köszönet a belga Stefaannak, hogy képernyőképeket készített iPad-frissítési folyamatáról, és elküldte azokat.) A frissítés után a
Abouta képernyőn láthatóan az iPadOS 16 szerepel, mint a biztonsági közleményben, míg aiPadOS VersionA képernyő kifejezetten azt írja, hogy 16.1. Úgy tűnik, hogy az iPhone-ok és iPadek már nemcsak a „16-osként ismert verziócsaládot” támogatják, hanem mindkettő rendelkezik a legfrissebb biztonsági javításokkal is, ezért miért nem hívja mindkettőt 16.1-es verziónak mindenhol az egyértelműség kedvéért, beleértve a biztonsági közleményt is. és aAboutképernyő? - Hová tűnt a macOS 10 Catalina? Hagyományosan az Apple megszünteti a macOS X-3 verzió támogatását, amikor megjelenik az X verzió, de ez a valódi magyarázata annak, hogy a macOS 11 Big Sur és a macOS 12 Monterey (az X-2 és X-1 verziók) miért kapott frissítéseket, míg a Catalina nem. t?
- Mi történt az iOS/iPadOS 15.7.1 rendszerrel? Amikor az iOS 16 kijött 2022 szeptemberében az előző verziócsalád is kapott kritikus frissítéseket, átkerült a 15.7-es verzióra. Ez magában foglalta a kritikus javítást az a kernel szintű nulladik napi lyuk aktív kihasználás alatt, ami gyakran azt jelenti, hogy „valaki kémprogramokat lop az iPhone-okra, emberek”. Tehát, tekintettel arra, hogy az iOS 16.1 tartalmazza még egy A kernel nulladik napjának javítása, esetleg egy újabb kémprogram által kihasznált út lezárása, hol volt a megfelelő javítás az iOS/iPadOS 15 családhoz, amely analógia alapján a 15.7.1-es verziót feltételezi?
Ahogy azt mondtuk tegnapi podcast, amikor egy aggódó olvasó fenti negyedik kérdésével szembesültünk, rövid válaszunk egyszerűen ez volt: „DUCK: Nem tudom./DOUG: Tiszta, mint a sár.”
Néha az operációs rendszer X verziójának biztonsági hibái egyszerűen nem vonatkoznak az X-1 verzióra, például azért, mert a hibák olyan kódban vannak, amelyet csak az újabb kiadásokban adtak hozzá, vagy csak veszélynek vannak kitéve.
De azt is láttuk, hogy az Apple két másik okból sem tudott frissítéseket készíteni a korábbi verziókhoz, vagy [a] mert valóban szükség van egy frissítésre, de túl bonyolultnak bizonyult ahhoz, hogy időben felkészüljön és tesztelje, vagy [b] mert az előző verziót most nem támogatottnak tekintették, és nem fog frissítést kapni, akár szükséges, akár nem.
És mivel az Apple biztonsági közleményei szinte mindig csak a jelenleg elérhető javításokról szólnak, a hiányzó frissítések rendszeresen megmagyarázhatatlan (és megmagyarázhatatlan) rejtély maradnak.
Közlemények robbanása
Nos, ma reggel 15 biztonsági értesítő e-mailt kaptunk az Apple-től, amelyek többsége a hét elején már látott közleményekben felsorolt CVE-számú hibákat és biztonsági problémákat sorolta fel.
Egyikük sem tisztázta közvetlenül a fenti első három kérdést, bár most azt feltételezzük, hogy az Apple „iPadOS 16”-ra és „iPadOS 16.1-re” való hivatkozásának oka egy esetleges téves kísérlet volt annak az információnak a közvetítésére, hogy az iPadOS most késve kapja meg. frissítés a 16-os verziócsaládhoz, valamint egy frissítés egyenértékű biztonsági javítások az új iOS 16.1-hez.
Az Apple legfrissebb lapjának legelső közleménye azonban megoldotta a fent felsorolt utolsó kérdést az iOS/iPadOS 15.7.1 bejelentésével, amelyről kiderül, hogy kritikus javítás:
APPLE-SA-2022-10-27-1: iOS 15.7.1 és iPadOS 15.7.1 Az iOS 15.7.1 és iPadOS 15.7.1 a következő problémákat oldja meg. A biztonsági tartalommal kapcsolatos információk a https://support.apple.com/HT213490 címen is elérhetők. [. . .] Kernel Elérhető: iPhone 6s és újabb, iPad Pro (minden modell), iPad Air 2 és újabb, iPad 5. generációs és újabb, iPad mini 4 és újabb, valamint iPod touch (7. generáció) Hatás: Egy alkalmazás képes lehet tetszőleges kód futtatására kerneljogokkal. Az Apple tudomása van egy jelentésről, amely szerint ezt a problémát aktívan kihasználhatták. Leírás: A határokon túli írási problémát javított határellenőrzéssel orvosoltuk. CVE-2022-42827: névtelen kutató
Tehát az iOS/iPadOS 15 továbbra is támogatott, és ha nem harapott bele a golyóba, és nem frissített az iOS 16.1-re (vagy a szakadár elnevezésű iPadOS 16-ra – ez is-16.1-re) a hét elején…
…akkor meg kell győződnie róla azonnal szerezze be az iOS/iPadOS 15.7.1-et, mert az iOS 2022-ben javított CVE-42827-16.1 kernel nulladik napi lyuk ott van az iOS/iPadOS 15.7-ben, aktív kihasználás alatt.
Vagyis ez egyike volt azoknak az eseteknek, amikor a néhány nappal ezelőtti frissítés hiányának oka szinte biztosan az volt, hogy a javítások nem készültek el időben.
Mit kell tenni?
TL;DR, ha Ön iPhone vagy iPad felhasználó: ha még mindig az iOS/iPadOS 15-ös főverzióját használja, lépjen a következő oldalra beállítások > általános > biztonsági frissítés azonnal.
Még akkor is ellenőrizze, hogy be van-e kapcsolva az automatikus frissítés, és ne csak hagyja jóvá a letöltést, ha még nem tette meg, hanem kényszerítse eszközét a telepítési szakaszba, amely egy vagy több újraindítást igényel (és igen, természetesen kapcsolja ki telefonját vagy táblagépét egy időre).
TL;DR, ha Ön Apple: egy kicsit nagyobb áttekinthetőség sokat segítene a biztonsági közleményekben, különösen akkor, ha tudod, hogy a kritikus frissítés a korábbi verziók felhasználóinak szárnya, vagy pedig nem lesz szükségük frissítésre, mert a verziójukat ez nem érinti.
Mellesleg, ha a biztonság kedvéért úgy döntött, hogy a hét elején az iOS/iPadOS 16.1-et választja…
…most már nem térhet vissza az iOS/iPadOS 15.7.1-hez, mert az Apple nem engedélyezi a visszaminősítést.
(A leminősítés megkönnyíti a jailbreaket, amit az Apple meg kíván akadályozni, és mindenesetre először teljes adattörlésre lenne szükség, hogy a leminősítést rosszindulatú „hozd el saját hibákat” biztonsági megkerülőként a személyes adatok kiszivárgására használhassák.)
- Apple
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- CVE-2022 42827-
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- tűzfal
- iPad
- iPhone
- Kaspersky
- malware
- McAfee
- Meztelen biztonság
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- spyware
- VPN
- sebezhetőség
- A honlap biztonsága
- zephyrnet
- Nulla nap
