Apple megaoppdatering: Ventura ut, iOS- og iPad-kjernen zero-day – handle nå!

Apples siste samling av sikkerhetsoppdateringer har kommet, inkludert de nettopp lanserte macOS 13 eventyr, som ble ledsaget av sin egen sikkerhetsbulletin liste opp hele 112 CVE-nummererte sikkerhetshull.

Av disse telte vi 27 vilkårlig kodeutførelseshull, hvorav 12 tillater falsk kode å bli injisert rett inn i selve kjernen, og en lar uklarert kode kjøres med systemprivilegier.

På toppen av det er det to elevation-of-privilege (EoP)-feil oppført for Ventura som vi antar kan brukes sammen med noen, mange eller alle de resterende 14 ikke-systemkodeutførelsesfeilene for å danne en angrepskjede som gjør en kodeutførelse på brukernivå til en systemnivå.

iPhone og iPad i reell risiko

Det er imidlertid ikke den mest kritiske delen av denne historien.

Prisen "klar og nærværende fare" går til iOS og iPadOS, Som bli oppdatert til versjon 16.1 og 16 henholdsvis, der en av de oppførte sikkerhetssårbarhetene tillater kjøring av kjernekode fra en hvilken som helst app, og allerede blir utnyttet aktivt.

Kort sagt, iPhones og iPads trenger oppdatering med en gang på grunn av en kjerne null-dag.

Apple har ikke sagt hvilken nettkriminalitetsgruppe eller spionvareselskap som misbruker denne feilen, kalt CVE-2022-42827, men gitt den høye prisen som en fungerende iPhone null-dager befaler i cyberunderverdenen, antar vi at den som er i besittelse av denne utnyttelsen [a] vet hvordan den skal fungere effektivt og [b] er usannsynlig å trekke oppmerksomhet til den selv , for å holde eksisterende ofre i mørket så mye som mulig.

Apple har trasket ut sin vanlige kjelebemerkning om at selskapet "er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet", og det er alt.

Som et resultat kan vi ikke gi deg noen råd om hvordan du kan se etter tegn på angrep på din egen enhet – vi er ikke kjent med noen såkalte IoC-er (indikatorer for kompromiss), for eksempel rare filer i sikkerhetskopien, uventede konfigurasjonsendringer eller uvanlige loggfiloppføringer som du kanskje kan søke etter.

Vår eneste anbefaling er derfor vår vanlige oppfordring til å lappe tidlig/lappe ofte, ved å gå til innstillinger > general > programvare~~POS=TRUNC og velge Last ned og installer hvis du ikke har mottatt rettelsene allerede.

Hvorfor vente på at enheten din finner og foreslår selve oppdateringene når du kan hoppe til toppen av køen og hente dem med en gang?

Catalina falt?

Som du kanskje har antatt, gitt at utgivelsen av Ventura tar macOS til versjon 13, vises ikke macOS 10 Catalina for tre versjoner siden denne gangen.

Apple gir vanligvis sikkerhetsoppdateringer bare for tidligere og tidligere versjoner av macOS, og det er slik oppdateringene spilte ut her, med oppdateringer å ta macOS 11 Big Sur til versjon 11.7.1og macOS 12 Monterey til versjon 12.6.1.

Imidlertid får disse versjonene også en egen oppdatering oppført som Safari 16.1, som fikser flere farlige feil i Safari og dets underliggende programvarebibliotek WebKit.

Husk at WebKit brukes ikke bare av Safari, men også av alle andre apper som er avhengige av Apples underliggende kode for å vise alle slags HTML-basert innhold, inkludert hjelpesystemer, Om-skjermer og innebygde "mininettlesere", ofte sett i meldingstjenester apper som tilbyr et alternativ for å vise HTML-filer, sider eller meldinger.

eple WATCH og tvOS får også en rekke rettelser, og deres versjonsnumre oppdateres til Watch 9.1 og tvOS 16.1 henholdsvis.

Hva gjør jeg?

Den gode nyheten er at bare tidlige brukere og programvareutviklere sannsynligvis kjører Ventura allerede, som en del av Apples Beta-økosystem.

Disse brukerne bør oppdatere så snart som mulig, uten å vente på en systempåminnelse eller på at automatisk oppdatering skal starte, gitt det enorme antallet feil som er fikset.

Hvis du ikke er på Ventura, men har tenkt å oppgradere med en gang, vil din første opplevelse av den nye versjonen automatisk inkludere 112 CVE-patchene nevnt ovenfor, så versjonen oppgradering vil automatisk inkludere nødvendig sikkerhet oppdateringer.

Hvis du planlegger å holde deg til den forrige eller forrige macOS-versjonen en stund ennå (eller hvis du, som oss, har en eldre Mac som ikke kan oppgraderes), ikke glem at du trenger to oppdateringer: en spesifikk for Big Sur eller Monterey, og den andre en oppdatering for Safari som er den samme for begge operativsystemene.

Til oppsummering:

• På iOS eller iPad OS, snarest bruk innstillinger > general > programvare~~POS=TRUNC
• På macOS, bruke Apple-menyen > Om denne Mac > Programvare oppdatering…
• macOS 13 Ventura Beta brukere bør oppdatere umiddelbart til den fullstendige utgivelsen.
• Big Sur- og Monterey-brukere som oppgraderer til Ventura får macOS 13-sikkerhetsreparasjonene samtidig.
• macOS 11 Big Sur går til 11.7.1, og behov Safari 16.1 også.
• macOS 12 Monterey går til 12.6.1, og behov Safari 16.1 også.
• WATCH går til 9.1.
• tvOS går til 16.1.

Merk at macOS 10 Catalina ikke får noen oppdateringer, men vi antar at det er fordi det er slutten på veien for Catalina-brukere, ikke fordi det fortsatt støttes, men var immun mot noen av feilene som ble funnet i senere versjoner.

Hvis vi har rett, sitter Catalina-brukere som ikke kan oppgradere Mac-ene sine fast med å kjøre stadig mer utdatert Apple-programvare for alltid, eller bytte til et alternativt operativsystem som en Linux-distro som fortsatt støttes på enheten deres.

Hurtigkoblinger til Apples sikkerhetsbulletiner:

• APPLE-SA-2022-10-24-1: HT213489 for iOS 16.1 og iPadOS 16
• APPLE-SA-2022-10-24-2: HT213488 for macOS Ventura 13
• APPLE-SA-2022-10-24-3: HT213494 for macOS Monterey 12.6.1
• APPLE-SA-2022-10-24-4: HT213493 for macOS Big Sur 11.7.1
• APPLE-SA-2022-10-24-5: HT213491 for watchOS 9.1
• APPLE-SA-2022-10-24-6: HT213492 for tvOS 16.1
• APPLE-SA-2022-10-24-7: HT213495 for Safari 16.1

---