חוק הכותרות של Betteridge מתעקש שכל כותרת שמוצגת כשאלה ניתנת לתשובה מיידית ב"לא".
ככל הנראה, התיאוריה שמאחורי שנינות זו (זה לא למעשה חוק, ועדיין לא כלל, ואפילו לא למעשה שום דבר יותר מהצעה) היא שאם המחבר ידע על מה הם מדברים, והיו לו ראיות אמיתיות לתמוך בטענתו, הם היו כותבים את הכותרת כעובדה לא מדוללת.
ובכן, אנחנו לא עיתונאים כאן ב-Naked Security, אז למרבה המזל אנחנו לא מחויבים לחוק הזה.
התשובה חסרת הרחמים לשאלה שלנו בכותרת למעלה היא, "אף אחד לא יודע חוץ מאפל, ואפל לא אומרת."
תשובה טובה יותר אבל יש להודות באמצע הדרך היא, "חכה ותראה."
תגובות מהירות
הסיפור הזה התחיל מאוחר אתמול, בסוף 2023-06-10 שעון בריטניה, כאשר אנו בהתרגשות [האם אתה מתכוון "בהתרגשות?" – אד.] כתב ייעוץ על זה של אפל שני אי פעם תגובה אבטחה מהירה (RSR):
RSRs אלה הם, כמונו הסביר קודם, המאמצים של אפל לספק תיקוני חירום לבעיה בודדת, כפי שבדרך כלל עושים פרויקטי קוד פתוח מנוהלים היטב, כאשר תיקוני אפס-יום יוצאים לעתים קרובות תוך יום או יומיים לאחר מציאת בעיה, עם עדכונים-לעדכונים הבאים. מייד אם חקירות נוספות חושפות בעיות נוספות שיש לתקן.
אחת הסיבות לכך שפרויקטי קוד פתוח יכולים לנקוט בגישה כזו היא שהם בדרך כלל מספקים דף הורדה עם קוד המקור המלא של כל גרסה שפורסמה רשמית אי פעם, כך שאם אתה ממהר לאמץ את התיקונים האחרונים תוך שעות, ולא בימים או שבועות, והם לא מסתדרים, אין מניעה לחזור לגרסה הקודמת עד שהתיקון לתיקון יהיה מוכן.
עם זאת, מסלול השדרוג הרשמי של אפל, לפחות עבור המכשירים הניידים שלה, תמיד היה לספק תיקונים מלאים ברמת המערכת שלעולם לא ניתן להחזיר אותם לאחור, מכיוון שאפל לא אוהבת את הרעיון של משתמשים משדרגים את המערכות שלהם בכוונה לאחור כדי לנצל באגים ישנים במטרה לפרוץ את המכשירים שלהם או להתקין מערכות הפעלה חלופיות.
כתוצאה מכך, גם כאשר אפל ייצרה תיקוני חירום של באג אחד או שני באגים עבור חורים של יום אפס שכבר נוצלו באופן פעיל, החברה הייתה צריכה להמציא (והיית צריך לתת אמון בו) מה שהיה בעצם דרך אחת שדרוג, למרות שכל מה שאתה באמת צריך היה מינמליסטי עדכון לרכיב אחד של המערכת כדי לתקן סכנה ברורה ונוכחת.
היכנסו לתהליך RSR, מה שמאפשר תיקונים מהירים שתוכלו להתקין במהירות, שאינם דורשים מכם לקחת את הטלפון שלכם במצב לא מקוון למשך 15 עד 45 דקות של אתחולים חוזרים ונשנים, ושתוכלו להסיר מאוחר יותר (ולהתקין מחדש, ולהסיר, ו וכן הלאה) אם תחליט שהריפוי היה גרוע יותר מהמחלה.
באגים שתוקנו באופן זמני באמצעות RSR יתוקנו לצמיתות בשדרוג הגרסה המלאה הבאה...
...כדי ש-RSR לא יצטרכו או יקבלו מספר גרסה חדש לגמרי משלהם.
במקום זאת, הם מקבלים אות רצף מצורפת, כך שתגובת האבטחה המהירה הראשונה עבור iOS 16.5.1 (שיצאה אתמול) מוצגת ב- הגדרות > כללי > אודות as 16.5.1 ().
(אנחנו לא יודעים מה יקרה אם הרצף יעבור אי פעם (z)
, אבל נהיה מוכנים להמר קטן על התשובה היא (aa)
, או שאולי (za)
אם המיון האלפביתי נחשב חשוב.)
הנה היום, נעלם מחר
בכל מקרה, רק כמה שעות קצרות לאחר שהמלצתי לכולם לקבל iOS ו-iPadOS 16.5.1 (א), מכיוון שהוא מתקן ניצול של יום אפס בקוד ה-WebKit של אפל ולכן כמעט בוודאות עלול להיות מנוצל לרעה עבור מגעילים של תוכנות זדוניות כגון השתלת תוכנות ריגול או חטיפה. נתונים פרטיים מהטלפון שלך...
... מגיבים (תודה מיוחדת לג'ון מייקל לסלי, אשר פורסם בדף הפייסבוק שלנו) התחילו לדווח שהעדכון כבר לא מופיע כשהם השתמשו הגדרות > כללי > עדכון תוכנה כדי לנסות לעדכן את המכשירים שלהם.
של אפל פורטל אבטחה עדיין מפרט [2023-07-11T15:00:00Z] את העדכונים האחרונים בתור macOS 13.4.1 (א) ו iOS/iPadOS 16.5.1 (א), מיום 2023-07-10, ללא הערות לגבי השעיה רשמית או לא.
אבל דיווחים דרך אתר MacRumors מציעים שהעדכונים בוטלו לעת עתה.
סיבה אחת מוצעת היא שדפדפן הספארי של אפל מזהה את עצמו כעת בבקשות אינטרנט עם מחרוזת User-Agent הכוללת את התוספת (a)
במספר ה-Verion שלה.
הנה מה שראינו כשהפנינו את דפדפן הספארי המעודכן שלנו ב-iOS אל שקע TCP מאזין (מעוצב עם מעברי שורה כדי לשפר את הקריאות):
$ ncat -vv -l 9999 Ncat: גרסה 7.94 ( https://nmap.org/ncat ) Ncat: Listening on :::9999 Ncat: Listening on 0.0.0.0:9999 Ncat: חיבור מ-10.42.42.1. Ncat: חיבור מ-10.42.42.1:13337. GET / HTTP/1.1 מארח: 10.42.42.42:9999 שדרוג-לא מאובטח-בקשות: 1 קבל: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 כמו Mac OS X) AppleWebKit/605.1.15 (KHTML, כמו Gecko) Version/16.5.2 (א) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate חיבור: keep-alive NCAT DEBUG: סגירת Fd 5.
לפי כמה פרשני MacRumors, זה Version/
מחרוזת, המורכבת כפי שהיא מורכבת מהמספרים והנקודות הרגילים יחד עם טקסט מוזר ובלתי צפוי בסוגריים עגולים, מבלבלת כמה אתרים.
(למרבה האירוניה, נראה שהאתרים שראינו מאשימים במשחק הזה לכאורה-מחרוזת-מחרוזת-מטות-האשמה-כולם נראים שירותים שהגישה אליהם נפוצה הרבה יותר על ידי אפליקציות ייעודיות מאשר דרך דפדפן, אבל נראה שהתיאוריה היא שהם כנראה להיחנק מזה 16.5.2 (a)
מזהה גרסה אם תחליט לבקר אותם עם גרסה מעודכנת של Safari.)
מה לעשות?
למען האמת, רק אפל יודעת מה קורה כאן, והיא לא אומרת. (לפחות, לא באופן רשמי דרך פורטל האבטחה שלו (HT201222) או שלה על תגובות אבטחה מהירות דף (HT201224.)
אנו מציעים, אם כבר יש לך את העדכון, שלא תסיר אותו אלא אם הוא באמת מפריע ליכולת שלך להשתמש בטלפון שלך עם אתרי האינטרנט או האפליקציות שאתה צריך לעבודה, או אלא אם מחלקת ה-IT שלך מורה לך במפורש לחזור אחורה. לטעם "לא (א)" של macOS, iOS או iPadOS.
אחרי הכל, עדכון זה נחשב מתאים לתגובה מהירה מכיוון שהניצול שהוא מתקן הוא חור בטבע, מבוסס דפדפן בביצוע קוד מרחוק (RCE).
אם אתה צריך או רוצה להסיר את ה-RSR, אתה יכול לעשות זאת:
- אם יש לך אייפון או אייפד. תיכנס לאתר הגדרות > כללי > אודות > גרסת iOS/iPadOS ולבחור הסר תגובת אבטחה.
- אם יש לך מק. תיכנס לאתר הגדרות מערכת > כללי > אודות ולאחר מכן לחץ על
(i)
סמל בסוף הפריט הזכאי macOS מגיע.
שים לב שהתקנו את ה-RSR מיד ב-macOS Ventura 13.4.1 ו-iOS 16.5.1, ולא נתקלנו בבעיות בגלישה אל המקומות הרגילים שלנו באינטרנט דרך Safari או Edge. (זכור שכל הדפדפנים משתמשים ב-WebKit במכשירים ניידים של אפל!)
לכן אין בכוונתנו להסיר את העדכון, ואיננו מוכנים לעשות זאת בניסוי, כי אין לנו מושג אם נוכל להתקין אותו מחדש לאחר מכן.
מגיבים הציעו שהתיקון פשוט לא מדווח כשהם מנסים ממכשיר שלא תוקן, אבל לא ניסינו לתקן מחדש מכשיר שתוקן בעבר כדי לראות אם זה נותן לך כרטיס קסם להביא את העדכון שוב.
פשוט שים:
- אם כבר הורדת את macOS 13.4.1 (א) או iOS/iPadOS 16.5.1 (א), שמור את העדכון אלא אם כן אתה לחלוטין צריך להיפטר ממנו, בהתחשב בכך שהוא מגן עליך מפני חור של אפס יום.
- אם התקנת אותו ובאמת צריך או רוצה להסיר אותו, ראה את ההוראות שלנו למעלה, אבל הנחה שלא תוכל להתקין אותו מחדש מאוחר יותר, ולכן תכניס את עצמך לקטגוריה השלישית למטה.
- אם עדיין לא קיבלת אותו, צפה בחלל הזה. אנחנו מנחשים ש-
(a)
תיקון יוחלף במהירות ב-a(b)
תיקון, כי כל הרעיון של "העדכונים האותיים" הללו הוא שהם נועדו להיות תגובות מהירות. אבל רק אפל יודעת בוודאות.
נתקן את העצה הרגילה שלנו מאתמול באמירה: אל תעקב; עשה זאת ברגע שאפל והמכשיר שלך יאפשרו לך.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 10
- 13
- 15%
- 16
- 25
- 7
- 700
- 8
- 9
- a
- יכולת
- יכול
- אודות
- מֵעַל
- מוּחלָט
- בהחלט
- לְקַבֵּל
- נצפה
- באופן פעיל
- למעשה
- לְאַמֵץ
- עצה
- ייעוץ
- ייעוץ
- לאחר
- לאחר מכן
- שוב
- נגד
- תעשיות
- מאפשר
- לאורך
- כְּבָר
- חלופה
- תמיד
- an
- ו
- לענות
- כל
- דבר
- תפוח עץ
- גישה
- אפליקציות
- ARE
- AS
- לְהַנִיחַ
- At
- מחבר
- המכונית
- רָחוֹק
- בחזרה
- רקע תמונה
- מחסום
- BE
- כי
- היה
- מאחור
- להיות
- להלן
- מוטב
- גבול
- תַחתִית
- כָּרוּך
- הפסקות
- דפדפן
- דפדפנים
- דפדוף
- באגים
- אבל
- by
- הגיע
- CAN
- מקרה
- קטגוריה
- מרכז
- בהחלט
- בחרו
- ברור
- קליק
- סגירה
- קוד
- צֶבַע
- איך
- פרשנים
- בדרך כלל
- חברה
- רְכִיב
- מבלבל
- הקשר
- נחשב
- מורכב
- יכול
- לכסות
- לרפא
- סכנה
- נתונים
- תאריכים
- יְוֹם
- ימים
- להחליט
- מוקדש
- נחשב
- עיכוב
- למסור
- מַחלָקָה
- מכשיר
- התקנים
- מַחֲלָה
- לְהַצִיג
- מוצג
- do
- עושה
- לא
- לא
- להורדה
- ed
- אדג '
- מאמץ
- חירום
- סוף
- רשאי
- למעשה
- אֲפִילוּ
- אי פעם
- כל
- כולם
- עדות
- אלא
- הוצאת להורג
- לנצל
- ומנוצל
- פייסבוק
- עובדה
- אֱמוּנָה
- מעטים
- ראשון
- קבוע
- הבא
- בעד
- למרבה המזל
- מצא
- החל מ-
- מלא
- נוסף
- בדרך כלל
- לקבל
- נתן
- נותן
- Go
- Goes
- הולך
- נעלם
- היה
- קורה
- יש
- כותרת
- כותרות
- גובה
- כאן
- חור
- חורים
- המארח
- שעות
- לרחף
- אולם
- HTTPS
- i
- ICON
- רעיון
- מזהה
- מזהה
- if
- חשוב
- לשפר
- in
- כולל
- להתקין
- מותקן
- התקנה
- מייד
- הוראות
- בכוונת
- אל תוך
- חקירות
- iOS
- iPad
- iPad
- iPhone
- באופן אירוני
- בעיות
- IT
- שֶׁלָה
- עצמו
- ג'ון
- עיתונאים
- רק
- שמור
- לדעת
- מְאוּחָר
- מאוחר יותר
- האחרון
- חוק
- הכי פחות
- עזבו
- לתת
- מכתב
- כמו
- קו
- האזנה
- רשימות
- עוד
- מק
- MacOS
- מקרומורים
- קסם
- תוכנות זדוניות
- שולים
- max-width
- אומר
- התכוון
- מיכאל
- דקות
- סלולרי
- מכשירים ניידים
- יותר
- רוב
- הרבה
- ביטחון עירום
- צורך
- נחוץ
- צורך
- לעולם לא
- חדש
- הבא
- לא
- נוֹרמָלִי
- הערות
- עַכשָׁיו
- מספר
- מספרים
- of
- רשמית
- לא מחובר
- לעתים קרובות
- זקן
- on
- ONE
- רק
- לפתוח
- קוד פתוח
- פועל
- מערכות הפעלה
- or
- להזמין
- OS
- OS X
- שלנו
- הַחוּצָה
- שֶׁלוֹ
- עמוד
- עבר
- תיקון
- טלאים
- מסלול
- פול
- אוּלַי
- לצמיתות
- טלפון
- PHP
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- כניסה
- עמדה
- הודעות
- להציג
- קודם
- פְּרָטִי
- בעיה
- בעיות
- תהליך
- מיוצר
- פּרוֹיֶקט
- פרויקטים
- לספק
- מושך
- מטרה
- גם
- שאלה
- מהיר
- מהר
- במקום
- מוכן
- ממשי
- בֶּאֱמֶת
- טעם
- לאחרונה
- קרוב משפחה
- לזכור
- מרחוק
- להסיר
- חזר
- החליף
- דווח
- דווח
- בקשות
- לדרוש
- תגובה
- תגובות
- תוצאה
- לגלות
- להיפטר
- תקין
- גָלִיל
- התגלגל
- גִלגוּל
- עגול
- RSR
- כלל
- לְמַהֵר
- ספארי
- ראה
- אמר
- אַבטָחָה
- אבטחה
- לִרְאוֹת
- נראה
- נראה
- לראות
- רצף
- שירותים
- קצר
- פָּשׁוּט
- בפשטות
- אתר
- אתרים
- קטן
- So
- מוצק
- כמה
- בקרוב
- מָקוֹר
- קוד מקור
- מֶרחָב
- מדבר
- מיוחד
- תוכנות ריגול
- החל
- עוד
- סיפור
- מחרוזת
- כזה
- להציע
- מַתְאִים
- לספק
- תמיכה
- בטוח
- תלוי
- SVG
- מערכת
- מערכות
- לקחת
- מדבר
- אומר
- מֵאֲשֶׁר
- תודה
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- התאוריה
- לכן
- אלה
- הֵם
- שְׁלִישִׁי
- זֶה
- אם כי?
- כרטיס
- זמן
- ל
- היום
- חלק עליון
- מַעֲבָר
- שָׁקוּף
- ניסיתי
- לנסות
- שתיים
- Uk
- לא צפוי
- עד
- עדכון
- מְעוּדכָּן
- עדכונים
- שדרוג
- כתובת האתר
- להשתמש
- מְשׁוּמָשׁ
- משתמשים
- בְּדֶרֶך כְּלַל
- גרסה
- באמצעות
- לְבַקֵר
- רוצה
- היה
- שעון
- we
- אינטרנט
- ערכת רשת
- אתרים
- שבועות
- היו
- מה
- מתי
- אם
- אשר
- מי
- כל
- רוחב
- יצטרך
- מוכן
- עם
- בתוך
- תיק עבודות
- להתאמן
- גרוע יותר
- כתוב
- כתב
- X
- אתמול
- עוד
- אתה
- עצמך
- זפירנט