דחוף! אפל מוציאה עדכון אפס יום עבור מכשירי אייפון ואייפד ישנים יותר

ובכן, לא ציפינו לזה!

האייפון 6+ האהוב שלנו, עכשיו בן כמעט שמונה שנים אבל במצב בתולי, כמו חדש עד UDI לאחרונה (תקרית הורדה לא מכוונת, הידוע גם כ-bike prang, שניפץ את המסך אך הותיר את המכשיר עובד מצוין אחרת), לא קיבל עדכוני אבטחה מאפל במשך כמעט שנה.

העדכון האחרון שקיבלנו היה חזרה ב-2021-09-23, כאשר עדכנו ל-iOS 12.5.5.

כל עדכון שלאחר מכן עבור iOS ו- iPadOS 15 חיזק באופן מובן את ההנחה שלנו שאפל ביטלה את התמיכה ב-iOS 12 לתמיד, ולכן הורדנו את האייפון הישן לעבודה ברקע, אך ורק כמכשיר חירום למפות או שיחות טלפון במהלך הדרך.

(חשבנו שקריסה נוספת לא תהרוס את המסך עוד יותר, כך שזו נראתה פשרה שימושית.)

אבל הרגע שמנו לב לזה אפל החליטה לעדכן את iOS 12 שוב אחרי הכל.

עדכון חדש זה חל על הדגמים הבאים: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, ו-iPod touch דור 6. (לפני שיצאו iOS 13.1 ו-iPadOS 13.1, מכשירי אייפון ואייפד השתמשו באותה מערכת הפעלה, המכונה iOS עבור שני המכשירים).

לא קיבלנו מייל ייעוץ אבטחה מאפל, אבל קורא עירום אבטחה ערני שיודע שעדיין יש לנו את האייפון הישן 6+ הודיע ​​לנו על עלון אבטחה של אפל HT213428. (תודה!)

במילים פשוטות, אפל פרסמה תיקון עבור CVE-2022-32893, שהוא אחד מה- שני באגים מסתוריים של יום אפס שקיבלו תיקוני חירום ברוב הפלטפורמות האחרות של אפל מוקדם יותר באוגוסט 2022:

השתלת תוכנה זדונית

כפי שתראו במאמר שלמעלה, היה באג של ביצוע קוד מרחוק של WebKit, CVE-2022-32893, שבאמצעותו פורץ כלא, רוכל תוכנת ריגול או פושע סייבר ערמומי יכול לפתות אתכם לאתר ממולכד. להשתיל תוכנות זדוניות במכשיר שלך, גם אם כל מה שעשית היה להציץ בדף או במסמך תמים למראה.

ואז היה באג שני בקרנל, CVE-2022-32894, שבאמצעותו תוכנה זדונית יכולה להרחיב את המחושים שלה מעבר לאפליקציה שהיא זה עתה התפשרה עליה (כגון דפדפן או מציג מסמכים), ולקבל שליטה על הפנימיות של ההפעלה המערכת עצמה, ובכך מאפשרת לתוכנה זדונית לרגל, לשנות או אפילו להתקין אפליקציות אחרות, תוך עקיפת בקרות האבטחה המפורסמות והידוע לשמצה של אפל.

אז הנה החדשות הטובות: iOS 12 אינו פגיע ל-2022-day CVE-32894-XNUMX ברמת ליבה, מה שמונע כמעט בוודאות את הסיכון של פשרה מוחלטת של מערכת ההפעלה עצמה.

אבל הנה החדשות הרעות: iOS 12 פגיע לבאג WebKit CVE-2022-32893, כך שאפליקציות בודדות בטלפון שלך בהחלט נמצאות בסכנת פשרה.

אנו מנחשים שאפל בטח נתקלה לפחות במשתמשים בעלי פרופיל גבוה (או בסיכון גבוה, או שניהם) בטלפונים ישנים שנפגעו בדרך זו, והחליטה לדחוף את ההגנה לכולם כאמצעי זהירות מיוחד.

הסכנה של WebKit

זכור כי באגים של WebKit קיימים, באופן רופף, בשכבת התוכנה מתחת לספארי, כך שדפדפן הספארי של אפל עצמו אינו האפליקציה היחידה שנמצאת בסיכון מפגיעות זו.

כל הדפדפנים ב-iOS, אפילו Firefox, Edge, Chrome וכן הלאה, משתמשים ב-WebKit (זו דרישה של אפל אם אתה רוצה שהאפליקציה שלך תיכנס ל-App Store).

וכל אפליקציה המציגה תוכן אינטרנט למטרות אחרות מלבד גלישה כללית, כגון בדפי העזרה שלה, אודות מסך, או אפילו ב"מיני דפדפן" מובנה, נמצא גם בסיכון מכיוון שהוא ישתמש ב-WebKit מתחת לשמיכות.

במילים אחרות, רק "הימנעות מספארי" והיצמדות לדפדפן של צד שלישי אינה פתרון מתאים במקרה זה.

מה לעשות?

כעת אנו יודעים שהעדר עדכון עבור iOS 12 כאשר יצאו תיקוני החירום האחרונים עבור מכשירי אייפון עדכניים יותר, לא נבע מהעובדה ש-iOS כבר בטוח.

זה היה פשוט בגלל העובדה שעדיין לא היה עדכון זמין.

אז, בהתחשב בכך שאנו יודעים כעת ש- iOS 12 is בסיכון, ושמנצלים נגד CVE-2022-32893 נמצאים בשימוש בחיים האמיתיים, ושיש תיקון זמין...

...אז זה עניין דחוף של תיקון מוקדם/תיקון לעתים קרובות!

תיכנס לאתר הגדרות > כללי > עדכון תוכנה, ובדקו שיש לכם iOS 12.5.6.

אם עדיין לא קיבלת את העדכון באופן אוטומטי, הקש הורד והתקן כדי להתחיל את התהליך מיד:

---