Apple haalt stilletjes zijn laatste zero-day update uit - wat nu?

De Law of Headlines van Betteridge houdt vol dat elke kop die als een vraag wordt gesteld, onmiddellijk kan worden beantwoord met een simpel "Nee".

Blijkbaar is de theorie achter deze kwinkslag (het is eigenlijk geen wet, noch regel, zelfs niet meer dan een suggestie) dat als de auteur wist waar ze het over hadden, en echt bewijs had om hun zaak te ondersteunen, ze zouden de kop als een onverdund feit hebben geschreven.

Nou, we zijn geen journalisten hier op Naked Security, dus gelukkig zijn we niet gebonden aan deze wet.

Het meedogenloze antwoord op onze eigen vraag in de bovenstaande kop is: "Niemand weet het behalve Apple, en Apple zegt het niet."

Een beter maar weliswaar middelmatig antwoord is: "Wacht maar af."

Snelle reacties

Dit verhaal begon gisteren laat, aan het einde van 2023-06-10 Britse tijd, toen we opgewonden [bedoel je 'opgewonden?' – Red.] schreef een advies over Apple's tweede ooit Snelle beveiligingsreactie (RSR):

Deze RSR's zijn, net als wij eerder uitgelegd, de inspanningen van Apple om noodoplossingen voor één probleem net zo snel te leveren als goed beheerde open source-projecten doorgaans doen, waarbij zero-day-patches vaak binnen een dag of twee verschijnen nadat een probleem is gevonden, met updates-voor-de-updates die volgen onmiddellijk als uit nader onderzoek blijkt dat er nog meer problemen moeten worden opgelost.

Een van de redenen waarom open source-projecten dit soort aanpak kunnen volgen, is dat ze meestal een downloadpagina bieden met de volledige broncode van elke officieel uitgebrachte versie ooit, zodat als je je haast om de nieuwste fixes te gebruiken, het uren kost in plaats van dagen of uren. weken, en ze werken niet, is er geen belemmering om terug te gaan naar de vorige versie totdat de fix-for-the-fix klaar is.

Het officiële upgradepad van Apple, althans voor zijn mobiele apparaten, is echter altijd geweest om volledige patches op systeemniveau te leveren die nooit kunnen worden teruggedraaid, omdat Apple het idee niet leuk vindt dat gebruikers opzettelijk hun eigen systemen downgraden om oude bugs uitbuiten om hun eigen apparaten te jailbreaken of alternatieve besturingssystemen te installeren.

Als gevolg hiervan moest het bedrijf, zelfs toen Apple noodreparaties met één bug of twee bugs produceerde voor zero-day-gaten die al actief werden uitgebuit, op de proppen komen met (en je moest vertrouwen stellen in) wat in wezen een een manier upgrade, ook al was alles wat je echt nodig had een minimalistic -update naar een onderdeel van het systeem om een ​​duidelijk en aanwezig gevaar te patchen.

Betreed het RSR-proces, waardoor snelle patches mogelijk zijn die u snel kunt installeren, waarbij u uw telefoon niet 15 tot 45 minuten offline hoeft te halen om herhaaldelijk opnieuw op te starten, en die u later kunt verwijderen (en opnieuw installeren en verwijderen, en enzovoort) als u besluit dat het middel erger was dan de kwaal.

Bugs die tijdelijk via een RSR zijn gepatcht, worden permanent gepatcht in de volgende volledige versie-upgrade...

... zodat RSR's geen eigen versienummer nodig hebben of krijgen.

In plaats daarvan krijgen ze een volgbrief toegevoegd, zodat de eerste Rapid Security Response voor iOS 16.5.1 (die gisteren uitkwam) wordt weergegeven in Instellingen > Algemeen > Over as 16.5.1 (a).

(We weten niet wat er gebeurt als de reeks ooit voorbij gaat (z), maar we zijn bereid een kleine weddenschap aan te gaan op het antwoord (aa), of misschien (za) als alfabetische sorteerbaarheid belangrijk wordt geacht.)

Hier vandaag, morgen weg

Hoe dan ook, slechts een paar uur nadat we iedereen hadden geadviseerd om iOS en iPadOS 16.5.1 (a) te kopen, omdat het een zero-day-exploit in de WebKit-code van Apple repareert en daarom vrijwel zeker kan worden misbruikt voor malware-vervelingen zoals het implanteren van spyware of grijpen privégegevens van je telefoon...

…commentatoren (speciale dank aan John Michael Leslie, die geplaatst op onze Facebook-pagina) begonnen te melden dat de update niet meer verscheen toen ze die gebruikten Instellingen > Algemeen > software bijwerken om te proberen hun apparaten bij te werken.

Van Apple beveiligingsportaal vermeldt [2023-07-11T15:00:00Z] nog steeds de meest recente updates als macOS 13.4.1 (a) en iOS/iPadOS 16.5.1 (a), gedateerd 2023-07-10, zonder aantekeningen of ze officieel zijn geschorst of niet.

Maar meldt via de MacRumors-site suggereren dat de updates voorlopig zijn ingetrokken.

Een mogelijke reden is dat de Safari-browser van Apple zichzelf nu identificeert in webverzoeken met een User-Agent-tekenreeks die het aanhangsel bevat (a) in zijn versienummer.

Dit is wat we zagen toen we onze bijgewerkte Safari-browser op iOS richtten op een luisterende TCP-socket (geformatteerd met regeleinden om de leesbaarheid te verbeteren):

$ ncat -vv -l 9999 Ncat: Versie 7.94 ( https://nmap.org/ncat ) Ncat: Luisteren op :::9999 Ncat: Luisteren op 0.0.0.0:9999 Ncat: Verbinding vanaf 10.42.42.1. Ncat: verbinding vanaf 10.42.42.1:13337. GET / HTTP/1.1 Host: 10.42.42.42:9999 Upgrade-onveilige verzoeken: 1 Accepteren: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 zoals Mac OS X) AppleWebKit/605.1.15 (KHTML, zoals Gecko) Versie/16.5.2 (a) Mobiel/15E148 Safari/604.1 Acceptatietaal: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate Connection: keep-alive NCAT DEBUG: Closing fd 5.

Volgens sommige MacRumors-commentatoren, dat Version/ string, bestaande uit de gebruikelijke cijfers en punten samen met wat rare en onverwachte tekst tussen ronde haakjes, is verwarrend voor sommige websites.

(Ironisch genoeg lijken de sites waarvan we hebben gezien dat ze de schuld kregen in dit ogenschijnlijk versie-string-misparsing-blame-spel allemaal services te zijn die veel vaker worden gebruikt door speciale apps dan via een browser, maar de theorie lijkt te zijn dat ze blijkbaar stik daarop 16.5.2 (a) versie-ID als u besluit ze te bezoeken met een bijgewerkte versie van Safari.)

Wat te doen?

Strikt genomen weet alleen Apple wat hier aan de hand is, en dat zegt het niet. (Althans, niet officieel via het beveiligingsportaal (HT201222) of zijn Over snelle beveiligingsreacties pagina (HT201224.)

We raden u aan om, als u de update al heeft, deze niet te verwijderen, tenzij het u echt belemmert om uw telefoon te gebruiken met de websites of apps die u nodig heeft voor uw werk, of tenzij uw eigen IT-afdeling u expliciet vraagt ​​om terug te draaien naar de "niet-(a)" smaak van macOS, iOS of iPadOS.

Deze update werd immers geschikt geacht voor een snelle reactie, omdat de exploit die erin wordt opgelost een in-the-wild, browsergebaseerd remote code execution-lek (RCE) is.

Als u de RSR toch moet of wilt verwijderen, kunt u dit doen:

• Als je een iPhone of iPad hebt. Ga naar Instellingen > Algemeen > Over > iOS/iPadOS-versie En kies Beveiligingsreactie verwijderen.
• Als je een Mac hebt. Ga naar Systeem instellingen > Algemeen > Over En klik op de knop (i) pictogram aan het einde van het item met de titel macOS Ventura.

Merk op dat we de RSR meteen hebben geïnstalleerd op macOS Ventura 13.4.1 en iOS 16.5.1, en geen problemen hebben gehad met browsen naar onze gebruikelijke web-trefpunten via Safari of Edge. (Vergeet niet dat alle browsers WebKit gebruiken op mobiele apparaten van Apple!)

Daarom zijn we niet van plan de update te verwijderen, en we zijn ook niet bereid om dit experimenteel te doen, omdat we geen idee hebben of we deze later opnieuw kunnen installeren.

Commentatoren hebben gesuggereerd dat de patch gewoon niet wordt gerapporteerd wanneer ze het proberen vanaf een niet-gepatcht apparaat, maar we hebben niet geprobeerd een eerder gepatcht apparaat opnieuw te patchen om te zien of dat je een magisch ticket geeft om de update opnieuw op te halen.

Simpel gezegd:

• Als je macOS 13.4.1 (a) of iOS/iPadOS 16.5.1 (a) al hebt gedownload, bewaar de update tenzij u er absoluut vanaf moet, aangezien het u beveiligt tegen een zero-day-gat.
• Als je het hebt geïnstalleerd en het echt nodig hebt of wilt verwijderen, zie onze instructies hierboven, maar ga ervan uit dat u het later niet opnieuw kunt installeren en dat u zich daarom in de derde categorie hieronder zult plaatsen.
• Als je het nog niet hebt, bekijk dan deze ruimte. We gokken dat de (a) patch zal snel worden vervangen door een (b) patch, omdat het hele idee van deze "lettered updates" is dat ze bedoeld zijn als snelle reacties. Maar alleen Apple weet het zeker.

We passen ons gebruikelijke advies van gisteren aan door te zeggen: Loop geen vertraging op; doe het zodra Apple en uw apparaat u dat toestaan.

---

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/