SÜRGŐS! Az Apple kicsúszik a nulladik napos frissítésből a régebbi iPhone-ok és iPadek PlatoBlockchain Data Intelligence számára. Függőleges keresés. Ai.

SÜRGŐS! Az Apple kicsúszik a nulladik napi frissítésből a régebbi iPhone-ok és iPadek számára

Időbélyeg: 31. augusztus 2022. 2:42

by
Paul Ducklin

Na, erre nem számítottunk!

Nagyon szeretett iPhone 6+ készülékünk, amely immár közel nyolc éves, de hibátlan, újszerű állapotban a közelmúltbeli UDI-ig (nem szándékos leszállási esemény, más néven biciklipróba, amely szétzúzta a képernyőt, de egyébként jól működött a készülék), közel egy éve nem kapott semmilyen biztonsági frissítést az Apple-től.

Az utolsó frissítés, amit kaptunk, ez volt vissza 2021-09-23, amikor frissítettünk iOS 12.5.5-re.

Az iOS és az iPadOS 15 minden későbbi frissítése érthető módon megerősítette azt a feltételezésünket, hogy az Apple örökre megszüntette az iOS 12 támogatását, ezért a régi iPhone-t háttérfeladatra helyeztük, kizárólag vészhelyzeti eszközként a térképekhez vagy a telefonhívásokhoz útközben.

(Arra gondoltunk, hogy egy újabb összeomlás valószínűleg nem rontja tovább a képernyőt, ezért hasznos kompromisszumnak tűnt.)

De ezt csak most vettük észre Az Apple úgy döntött, hogy ismét frissíti az iOS 12-t.

This new update applies to the following models: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch 6th generation. (Before iOS 13.1 and iPadOS 13.1 came out, iPhones and iPads used the same operating system, referred to as iOS for both devices.)

Nem kaptunk biztonsági figyelmeztető e-mailt az Apple-től, de egy figyelmeztető Naked Security olvasó, aki tudja, hogy még mindig megvan a régi iPhone 6+, értesített minket Apple biztonsági közlemény HT213428. (Kösz!)

Egyszerűen fogalmazva, az Apple kiadott egy javítást CVE-2022 32893-, amely az egyik két titokzatos nulladik napi hiba amely 2022 augusztusában kapott sürgősségi javításokat a legtöbb Apple platformon:

Malware beültetés

As you will see in the article just above, there was a WebKit remote code execution bug, CVE-2022-32893, by means of which a jailbreaker, a spyware peddler, or some devious cybercriminal could lure you to a booby-trapped website and implant malware on your device, even if all you did was glance at an otherwise innocent-looking page or document.

Aztán volt egy második hiba is a kernelben, a CVE-2022-32894, amellyel a rosszindulatú program kiterjesztheti csápjait az éppen kompromittált alkalmazáson (például böngészőn vagy dokumentumnézegetőn) túlra, és átvehette az irányítást az operációs rendszer belső részei felett. magát a rendszert, így lehetővé teszi a rosszindulatú programok számára, hogy kémkedjenek, módosítsanak vagy akár telepítsenek más alkalmazásokat, megkerülve az Apple sokat dicsért és köztudottan szigorú biztonsági ellenőrzéseit.

Szóval, íme a jó hír: Az iOS 12 nem sérülékeny a kernelszintű nulladik napi CVE-2022-32894 ellen, ami szinte biztosan elkerüli magának az operációs rendszernek a teljes kompromittálását.

De itt a rossz hír: Az iOS 12 sebezhető a WebKit CVE-2022-32893 hibájával szemben, így a telefonon lévő egyes alkalmazások biztosan ki vannak téve a kompromisszumok veszélyének.

Úgy sejtjük, hogy az Apple biztosan találkozott legalább néhány olyan régebbi telefont használó magas (vagy kockázatos, vagy mindkettő) felhasználóval, akiket ilyen módon kompromittáltak, és úgy döntött, hogy különleges elővigyázatosságból mindenkire kiszorítja a védelmet.

A WebKit veszélye

Ne feledje, hogy a WebKit hibák lazán szólva a Safari alatti szoftverrétegben léteznek, így nem az Apple saját Safari böngészője az egyetlen alkalmazás, amelyet ez a biztonsági rés veszélyeztet.

Az iOS összes böngészője, még a Firefox, az Edge, a Chrome és így tovább, használja a WebKitet (ez Apple követelmény, ha azt szeretné, hogy az alkalmazás bekerüljön az App Store-ba).

És minden olyan alkalmazás, amely az általános böngészéstől eltérő célokra jelenít meg internetes tartalmat, például a súgóoldalain, annak Rólunk screen, or even in a built-in “minibrowser”, is also at risk because it will be using WebKit under the covers.

Más szóval, pusztán a „Safari elkerülése” és a harmadik féltől származó böngészőhöz való ragaszkodás nem megfelelő megoldás ebben az esetben.

Mit kell tenni?

We now know that the absence of an update for iOS 12 when the latest emergency patches came out for more recent iPhones was not down to the fact that iOS was already safe.

Egyszerűen annak a ténynek köszönhető, hogy még nem volt elérhető frissítés.

So, given that we now know that iOS 12 is at risk, and that exploits against CVE-2022-32893 are being used in real life, and that there is a patch available…

…akkor ez sürgős ügy Folt korai / Folt gyakran!

Ugrás beállítások > általános > szoftver frissítése, és ellenőrizze, hogy megvan-e iOS 12.5.6.

Ha még nem kapta meg automatikusan a frissítést, érintse meg a lehetőséget Letöltése és telepítése a folyamat azonnali megkezdéséhez:

Nyissa meg a Beállítások > Általános > Szoftverfrissítés menüpontot.
iOS 12.5.6-ot keres.
Ha szükséges, használja a Letöltés és telepítés lehetőséget.

Időbélyeg:

Még több Meztelen biztonság