Updates van Apple's zero-day updateverhaal – iPhone- en iPad-gebruikers lezen dit! PlatoBlockchain-gegevensintelligentie. Verticaal zoeken. Ai.

Updates voor het zero-day-updateverhaal van Apple - iPhone- en iPad-gebruikers lezen dit!

Tijdstempel: 28 oktober 2022 8:04 uur

by
Paul Ducklin

Vaste lezers zullen twee dingen weten over onze houding ten opzichte van de beveiligingspatches van Apple:

  • We pakken ze graag zo snel mogelijk op. Of het nu gaat om een ​​volledige versie-upgrade die ook een aantal beveiligingsreparaties bevat, of een puntrelease (een waarbij het meest linkse versienummer niet verandert) met het primaire doel om bugs te patchen in plaats van nieuwe functies toe te voegen, we vergissen ons liever in de kant van het toepassen van bekende beveiligingsoplossingen dan onze apparaten met gaten achter te laten waarvan aanvallers zich nu bewust zijn, zelfs als ze nog niet weten hoe ze deze kunnen misbruiken.
  • Toch vinden we de bulletins van Apple heel vaak verwarrend. Je weet bijvoorbeeld nooit helemaal waar je aan toe bent als je vastzit aan een versie die deze keer geen update heeft gekregen.

De nieuwste beveiligingsbulletins van Apple, die uitkwamen eerder deze week, lijken te illustreren hoe het bedrijf soms verwarring lijkt te vergroten door te weinig te zeggen ... wat niet altijd een gelukkig alternatief is voor te veel te weten komen:

Opkomende verwarring

Op basis van de vragen en opmerkingen die we de afgelopen dagen van lezers hebben ontvangen, is de volgende verwarring ontstaan:

  • Waarom beschreef een enkel beveiligingsbulletin updates genaamd iOS 16.1 en iPadOS 16? We weten dat iPadOS 16 vertraagd was, dus betekende deze recente update dat iPadOS nu alleen werd gepatcht naar hetzelfde beveiligingsniveau als iOS 16, dat meer dan een maand geleden uitkwam, terwijl iOS naar 16.1 ging, waardoor iPadOS meer dan vijf weken op de vlucht in termen van cyberbeveiliging?
  • Waarom meldde iPadOS 16 zichzelf uiteindelijk als versie 16.1? (Met dank aan Stefaan uit België voor het maken van screenshots van zijn iPad-updateproces en het opsturen ervan.) Na het updaten, About scherm zegt blijkbaar iPadOS 16, zoals het beveiligingsbulletin deed, terwijl de iPadOS Version scherm zegt expliciet 16.1. Het klinkt alsof iPhones en iPads nu niet alleen beide "de versiefamilie bekend als 16" ondersteunen, maar ook beide de allernieuwste beveiligingsoplossingen hebben, dus waarom niet gewoon overal versie 16.1 noemen voor de duidelijkheid, ook in het beveiligingsbulletin en op de About scherm?
  • Waar is macOS 10 Catalina gebleven? Traditioneel laat Apple de ondersteuning voor macOS-versie X-3 vallen wanneer versie X uitkomt, maar is dat de eigenlijke verklaring waarom macOS 11 Big Sur en macOS 12 Monterey (respectievelijk versies X-2 en X-1) updates kregen terwijl Catalina dat niet deed t?
  • Wat is er met iOS/iPadOS 15.7.1 gebeurd? Wanneer iOS 16 kwam uit in september 2022 ontving de vorige versiefamilie ook kritieke updates, waardoor deze naar versie 15.7 ging. Dit omvatte een kritieke oplossing om een zero-day hole op kernelniveau onder actieve exploitatie, wat zich vaak vertaalt als "iemand daar sluipt spyware op iPhones, mensen". Dus, gezien het feit dat iOS 16.1 inbegrepen is Nog een andere kernel zero-day fix, misschien het afsluiten van een weg die wordt uitgebuit door nog meer spyware, waar was de corresponderende patch voor de iOS/iPadOS 15-familie, waarvan je naar analogie zou aannemen dat het 15.7.1 zou zijn?

Zoals we al zeiden in podcast van gisteren, geconfronteerd met de vierde vraag hierboven van een bezorgde lezer, was ons korte antwoord eenvoudig: "EEND: Weet niet./DOUG: Helder als modder."

Soms zijn beveiligingsbugs in versie X van het besturingssysteem gewoon niet van toepassing op versie X-1, bijvoorbeeld omdat de bugs voorkomen in code die alleen in nieuwere releases is toegevoegd of alleen aan gevaar is blootgesteld.

Maar we hebben ook gezien dat Apple om twee andere redenen geen updates voor eerdere versies produceerde, ofwel [a] omdat een update echt nodig is, maar te lastig bleek om op tijd klaar te zijn en te testen, of [b] omdat de vorige versie werd nu als niet meer ondersteund en zou geen update krijgen, of het nu nodig was of niet.

En aangezien Apple-beveiligingsbulletins u bijna altijd alleen vertellen over patches die nu beschikbaar zijn, blijven ontbrekende updates regelmatig een onverklaarbaar (en onverklaarbaar) mysterie.

Een explosie van bulletins

Welnu, vanmorgen ontvingen we een explosie van 15 beveiligingsbulletin-e-mails van Apple, waarvan de meeste veel van de CVE-genummerde bugs en beveiligingsproblemen vermeldden in de bulletins die we eerder deze week al hadden gezien.

Geen van hen heeft de eerste drie vragen hierboven direct verduidelijkt, hoewel we nu aannemen dat de reden waarom Apple zowel naar "iPadOS 16" als naar "iPadOS 16.1" verwijst, een mogelijk misplaatste poging was om de informatie over te brengen dat iPadOS nu zijn late upgrade naar versie familie 16, evenals het verkrijgen van een -update equivalent in beveiligingsoplossingen voor de nieuwe iOS 16.1.

Maar het allereerste bulletin in het laatste salvo van Apple loste de laatste vraag hierboven wel op, door iOS/iPadOS 15.7.1 aan te kondigen, wat een kritieke oplossing:

APPLE-SA-2022-10-27-1: iOS 15.7.1 en iPadOS 15.7.1 iOS 15.7.1 en iPadOS 15.7.1 lossen de volgende problemen op. Informatie over de beveiligingsinhoud is ook beschikbaar op https://support.apple.com/HT213490. [. . .] Kernel Beschikbaar voor: iPhone 6s en later, iPad Pro (alle modellen), iPad Air 2 en later, iPad 5e generatie en later, iPad mini 4 en later en iPod touch (7e generatie) Impact: een toepassing kan om willekeurige code uit te voeren met kernelrechten. Apple is op de hoogte van een melding dat dit probleem mogelijk actief is misbruikt. Beschrijving: een out-of-bounds-schrijfprobleem is verholpen door een verbeterde grenscontrole. CVE-2022-42827: een anonieme onderzoeker

Dus iOS/iPadOS 15 wordt nog steeds ondersteund, en als je de kogel niet hebt doorgehakt en eerder in de week hebt geüpgraded naar iOS 16.1 (of naar het schismisch genoemde iPadOS 16-dat-is-ook-16.1)...

...dan moet je ervoor zorgen dat je krijg meteen iOS/iPadOS 15.7.1, omdat de CVE-2022-42827 kernel zero-day hole, gerepareerd in iOS 16.1, precies daar is in iOS/iPadOS 15.7, onder actieve exploitatie.

Met andere woorden, dit was een van die gevallen waarin de reden voor de ontbrekende update een paar dagen geleden vrijwel zeker was dat de patches niet op tijd klaar waren.

Wat te doen?

TL;DR als je een iPhone- of iPad-gebruiker bent: als je nog steeds iOS/iPadOS hoofdversie 15 gebruikt, ga dan naar Instellingen > Algemeen > security update meteen.

Controleer zelfs of je automatische updates hebt ingeschakeld, en onthoud niet alleen om de download goed te keuren als je deze nog niet hebt, maar ook om je apparaat door de installatiefase te dwingen, die een of meer herstarts vereist (en dat doet, natuurlijk even je telefoon of tablet offline halen).

TL;DR als je Apple bent: een beetje meer duidelijkheid zou een lange weg gaan in beveiligingsbulletins, vooral als je weet dat een kritieke update de vleugels is voor gebruikers van eerdere versies, of dat ze geen update nodig hebben omdat hun versie niet wordt beïnvloed.

Trouwens, als je eerder deze week besloot om door te gaan naar iOS/iPadOS 16.1, voor de zekerheid...

...je kunt nu niet meer terug naar iOS/iPadOS 15.7.1, omdat Apple geen downgrades toestaat.

(Downgrades maken jailbreaking mogelijk, wat Apple wil voorkomen, en in ieder geval zou eerst een volledige gegevenswissing nodig zijn om te voorkomen dat een downgrade wordt gebruikt als een kwaadwillende "breng je eigen bug"-beveiligingsbypass om persoonlijke informatie te exfiltreren.)

Tijdstempel:

Meer van Naakte beveiliging