האוסף האחרון של אפל של עדכוני אבטחה הגיע, כולל אלה שהושקו זה עתה macOS 13 Adventure, שהיה מלווה משלו עלון אבטחה פירוט עצום של 112 חורי אבטחה עם מספרי CVE.
מתוכם, ספרנו 27 חורים שרירותיים לביצוע קוד, מתוכם 12 מאפשרים להחדיר קוד נוכל ישר לתוך הליבה עצמה, ואחד מאפשר להריץ קוד לא מהימן עם הרשאות מערכת.
נוסף על כך, ישנם שני באגים של העלאת הרשאות (EoP) ברשימה עבור Ventura שאנו מניחים שניתן להשתמש בהם בשילוב עם חלק, רבים או כל שאר 14 באגי ביצוע הקוד שאינם מערכתיים כדי ליצור שרשרת תקיפה הופך ניצול ביצוע קוד ברמת המשתמש לניצול ברמת המערכת.
אייפון ואייפד בסיכון אמיתי
עם זאת, זה לא החלק הקריטי ביותר בסיפור הזה.
פרס "סכנה ברורה ונוכחת" מגיע ל iOS ו iPad, אשר להתעדכן לגרסה 16.1 ו 16 בהתאמה, כאשר אחת מפרצות האבטחה המפורטות מאפשרת ביצוע קוד ליבה מכל אפליקציה, וכבר מנוצלת באופן פעיל.
בקיצור, מכשירי אייפון ואייפד זקוקים לתיקון מיד בגלל א קרנל אפס יום.
אפל לא אמרה איזו קבוצת פשעי סייבר או חברת תוכנות ריגול מנצלת את הבאג הזה, המכונה CVE-2022-42827, אבל בהתחשב במחיר הגבוה שצוות אייפון עובד בעולם האנדר-אנדר, אנו מניחים שמי שנמצא ברשותו של הניצול הזה [א] יודע איך לגרום לו לעבוד בצורה יעילה ו[ב] לא סביר שימשוך אליו תשומת לב בעצמו , על מנת לשמור על קורבנות קיימים בחושך ככל האפשר.
אפל ביטלה את ההערה הרגילה שלה בטענה שהחברה "מודע לדיווח שייתכן שהבעיה הזו נוצלה באופן פעיל", וזה הכל.
כתוצאה מכך, איננו יכולים להציע לך עצות כיצד לבדוק אם יש סימני תקיפה במכשיר שלך - איננו מודעים לכל מה שנקרא IoCs (אינדיקטורים לפשרה), כגון קבצים מוזרים בגיבוי, שינויים בלתי צפויים בתצורה, או ערכי קובץ יומן יוצאי דופן שאולי תוכל לחפש.
ההמלצה היחידה שלנו היא אפוא הדחיפה הרגילה שלנו לבצע תיקון מוקדם/תיקון לעתים קרובות, על ידי פנייה אל הגדרות > כללי > עדכון תוכנה ובחירה הורד והתקן אם עדיין לא קיבלת את התיקונים.
למה לחכות שהמכשיר שלך ימצא ויציע את העדכונים בעצמו כאשר אתה יכול לקפוץ לראש התור ולהביא אותם מיד?
קטלינה נשמטה?
כפי שאולי הנחת, בהתחשב בכך שהשחרור של Ventura לוקח את macOS לגרסה 13, macOS 10 Catalina לפני שלוש גרסאות לא מופיעה ברשימה הפעם.
אפל בדרך כלל מספקת עדכוני אבטחה רק עבור הגירסאות הקודמות והקודמות של macOS, וככה התיקונים התנהלו כאן, עם תיקונים שצריך לקחת macOS 11 ביג סור לגרסה 11.7.1, ו macOS 12 מונטריי לגרסה 12.6.1.
עם זאת, גרסאות אלה גם מקבלות א עדכון נפרד רשום כ ספארי 16.1, אשר מתקן מספר באגים שנשמעים מסוכנים בספארי ובספריית התוכנה הבסיסית שלו WebKit.
זכור ש-WebKit משמש לא רק את Safari אלא גם את כל האפליקציות האחרות המסתמכות על הקוד הבסיסי של אפל כדי להציג כל סוג של תוכן מבוסס HTML, כולל מערכות עזרה, מסכי מידע ו"מיני דפדפנים" מובנים, הנראים בדרך כלל בהודעות הודעות. אפליקציות המציעות אפשרות להציג קבצי HTML, דפים או הודעות.
תפוח עץ WATCH ו tvOS מקבלים גם תיקונים רבים, ומספרי הגרסה שלהם מתעדכנים ל צפה 9.1 ו tvOS 16.1 בהתאמה.
מה לעשות?
החדשות הטובות הן שרק מאמצים מוקדמים ומפתחי תוכנה צפויים להפעיל את Ventura כבר, כחלק מהאקולוגית של אפל בטא.
משתמשים אלה צריכים לעדכן בהקדם האפשרי, מבלי להמתין לתזכורת מערכת או לעדכון אוטומטי שייכנס, בהתחשב במספר העצום של באגים שתוקנו.
אם אינך ב-Ventura אך מתכוון לשדרג מיד, החוויה הראשונה שלך בגרסה החדשה תכלול אוטומטית את 112 תיקוני CVE שהוזכרו לעיל, כך שהגרסה שדרוג יכלול אוטומטית את האבטחה הדרושה עדכונים.
אם אתם מתכננים להישאר עם גרסת ה-macOS הקודמת או הקודמת לזמן מה (או אם, כמונו, יש לכם מק ישן יותר שלא ניתן לשדרג), אל תשכחו שאתם צריכים שני עדכונים: אחד ספציפי לביג סור או מונטריי, והשני עדכון לספארי זהה לשני הטעמים של מערכת ההפעלה.
לסכם:
- במערכת ההפעלה iOS או iPad, להשתמש בדחיפות הגדרות > כללי > עדכון תוכנה
- ב- macOS, להשתמש תפריט Apple > על זה Mac > עדכון תוכנה…
- macOS 13 Ventura Beta על המשתמשים לעדכן מיד לגרסה המלאה.
- משתמשי ביג סור ומונטריי שמשדרגים ל-Ventura מקבלים את תיקוני האבטחה של macOS 13 בו-זמנית.
- macOS 11 ביג סור הולך ל 11.7.1, וצרכים ספארי 16.1 גם כן.
- macOS 12 מונטריי הולך ל 12.6.1, וצרכים ספארי 16.1 גם כן.
- WATCH הולך ל 9.1.
- tvOS הולך ל 16.1.
שימו לב ש-macOS 10 Catalina לא מקבל עדכונים, אבל אנחנו מניחים שזה בגלל שזהו סוף הדרך עבור משתמשי Catalina, לא בגלל שהוא עדיין נתמך אבל היה חסין לכל אחד מהבאגים שנמצאו בגרסאות מאוחרות יותר.
אם אנחנו צודקים, משתמשי Catalina שלא יכולים לשדרג את מחשבי ה-Mac שלהם תקועים עם הפעלת תוכנת אפל מיושנת יותר ויותר לנצח, או לעבור למערכת הפעלה חלופית כמו הפצת לינוקס שעדיין נתמכת במכשיר שלהם.
קישורים מהירים לעלוני האבטחה של אפל:
- APPLE-SA-2022-10-24-1: HT213489 עבור iOS 16.1 ו-iPadOS 16
- APPLE-SA-2022-10-24-2: HT213488 עבור macOS Ventura 13
- APPLE-SA-2022-10-24-3: HT213494 עבור macOS Monterey 12.6.1
- APPLE-SA-2022-10-24-4: HT213493 עבור macOS Big Sur 11.7.1
- APPLE-SA-2022-10-24-5: HT213491 עבור watchOS 9.1
- APPLE-SA-2022-10-24-6: HT213492 עבור tvOS 16.1
- APPLE-SA-2022-10-24-7: HT213495 עבור Safari 16.1
- 0 היום
- תפוח עץ
- blockchain
- קוינגניוס
- ארנקים
- cryptryptxchange
- CVE-2022-42827
- אבטחת סייבר
- עברייני אינטרנט
- אבטחת סייבר
- מחלקה לביטחון מולדת
- ארנקים דיגיטליים
- לנצל
- חומת אש
- iOS
- iPad
- iPhone
- קספרסקי
- מק
- תוכנות זדוניות
- מקאפי
- ביטחון עירום
- NexBLOC
- OS X
- אפלטון
- plato ai
- מודיעין אפלטון
- משחק אפלטון
- אפלטון נתונים
- פלטוגיימינג
- VPN
- פגיעות
- אבטחת אתר
- זפירנט
- יום זר
![S3 Ep102: מיון עובדות מסיפורת בכתבות חדשותיות מורגשות בנושא אבטחת סייבר [אודיו + תמלול] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep102-cover-360x188.jpg "S3 Ep102: מיון עובדות מסיפורת בכתבות חדשות אבטחת סייבר [אודיו + תמלול]")
