Apple henter stille sin siste nulldagersoppdatering – hva nå?

Betteridge's Law of Headlines insisterer på at enhver overskrift som stilles som et spørsmål umiddelbart kan besvares med et enkelt «Nei».

Tilsynelatende er teorien bak denne vittigheten (det er faktisk ikke en lov, heller ikke en regel, og heller ikke faktisk noe mer enn et forslag) at hvis forfatteren visste hva de snakket om, og hadde reelle bevis for å støtte saken deres, de ville ha skrevet overskriften som et ufortynnet faktum.

Vel, vi er ikke journalister her på Naked Security, så heldigvis er vi ikke bundet av denne loven.

Det hensynsløse svaret på vårt eget spørsmål i overskriften ovenfor er: "Ingen vet bortsett fra Apple, og Apple sier det ikke."

Et bedre, men riktignok midtveis svar er, "Vent og se."

Raske svar

Denne historien startet sent i går, på slutten av 2023-06-10 britisk tid, da vi begeistret [mener du "begeistret?" – Red.] skrev et råd om Apples andre noensinne Rask sikkerhetsrespons (RSR):

Disse RSRene er, som vi forklart tidligere, Apples innsats for å levere nødrettinger for enkeltutgaver så raskt som godt administrerte åpen kildekode-prosjekter vanligvis gjør, der nulldagers patcher ofte kommer ut innen en dag eller to etter at et problem ble funnet, med oppdateringer til oppdateringene etter umiddelbart hvis ytterligere undersøkelser viser at flere problemer må fikses.

En grunn til at åpen kildekode-prosjekter kan ta denne typen tilnærming, er at de vanligvis gir en nedlastingsside med den fullstendige kildekoden for hver offisielt utgitt versjon noensinne, slik at hvis du skynder deg å ta i bruk de siste rettelsene i løpet av timer, i stedet for i dager eller uker, og de fungerer ikke, er det ingen hindring for å rulle tilbake til forrige versjon før reparasjonen er klar.

Apples offisielle oppgraderingsvei, i det minste for sine mobile enheter, har imidlertid alltid vært å levere fullstendige oppdateringer på systemnivå som aldri kan rulles tilbake, fordi Apple ikke liker ideen om at brukere bevisst nedgraderer sine egne systemer for å utnytte gamle feil med det formål å jailbreake sine egne enheter eller installere alternative operativsystemer.

Som et resultat, selv når Apple produserte nødrettinger med én eller to feil for null-dagers hull som allerede ble aktivt utnyttet, måtte selskapet komme opp med (og du trengte å stole på) det som egentlig var en en vei oppgradering, selv om alt du egentlig trengte var en minmalistisk Oppdater til en komponent av systemet for å lappe en klar og tilstedeværende fare.

Gå inn i RSR-prosessen, og tillater raske oppdateringer som du kan installere i en hast, som ikke krever at du kobler telefonen frakoblet i 15 til 45 minutter med gjentatte omstarter, og som du senere kan fjerne (og installere på nytt, og fjerne, og så videre) hvis du bestemmer deg for at kuren var verre enn sykdommen.

Bugs som er korrigert midlertidig via en RSR vil bli korrigert permanent i neste fullversjonsoppgradering...

…slik at RSR-er ikke trenger eller får et helt nytt versjonsnummer.

I stedet får de en sekvensbokstav vedlagt, slik at den første Rapid Security Response for iOS 16.5.1 (som kom ut i går) vises i innstillinger > general > Om oss as 16.5.1 (a).

(Vi vet ikke hva som skjer hvis sekvensen noen gang går forbi (z), men vi ville være villige til å ta en liten innsats på at svaret er (aa), eller kanskje (za) hvis alfabetisk sorterbarhet anses som viktig.)

Her i dag, borte i morgen

Uansett, bare noen få timer etter å ha rådet alle til å skaffe seg iOS og iPadOS 16.5.1 (a), fordi den fikser en null-dagers utnyttelse i Apples WebKit-kode og kan derfor nesten helt sikkert bli misbrukt for ondsinnede skader som implantering av spyware eller griping private data fra telefonen din...

...kommentatorer (spesiell takk til John Michael Leslie, som postet på Facebook-siden vår) begynte å rapportere at oppdateringen ikke lenger dukket opp når de brukte innstillinger > general > programvare~~POS=TRUNC for å prøve å oppdatere enhetene deres.

Apples egne sikkerhetsportal viser fortsatt [2023-07-11T15:00:00Z] de siste oppdateringene som macOS 13.4.1 (a) og iOS/iPadOS 16.5.1 (a), datert 2023-07-10, uten merknader om hvorvidt de offisielt har blitt suspendert eller ikke.

Men rapporter via MacRumors-siden antyder at oppdateringene er trukket tilbake foreløpig.

En foreslått grunn er at Apples Safari-nettleser nå identifiserer seg i nettforespørsler med en User-Agent-streng som inkluderer vedlegget (a) i sitt veraion-nummer.

Her er hva vi så da vi pekte vår oppdaterte Safari-nettleser på iOS mot en lyttende TCP-kontakt (formatert med linjeskift for å forbedre lesbarheten):

$ ncat -vv -l 9999 Ncat: Versjon 7.94 ( https://nmap.org/ncat ) Ncat: Listening on :::9999 Ncat: Listening on 0.0.0.0:9999 Ncat: Connection from 10.42.42.1. Ncat: Tilkobling fra 10.42.42.1:13337. GET / HTTP/1.1 Vert: 10.42.42.42:9999 Upgrade-Usecure-Requests: 1 Godta: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 som Mac OS X) AppleWebKit/605.1.15 (KHTML, som Gecko) Versjon/16.5.2 (a) Mobil/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate Connection: keep-alive NCAT DEBUG: Avslutter fd 5.

I følge noen MacRumors-kommentatorer, det Version/ streng, som består som den gjør av de vanlige tallene og prikkene sammen med noe merkelig og uventet tekst i runde parenteser, forvirrer enkelte nettsteder.

(Ironisk nok ser det ut til at nettstedene vi har sett skylden i dette tilsynelatende versjon-streng-misparsing-blame-spillet alle er tjenester som er mye mer vanlig tilgang til av dedikerte apper enn via en nettleser, men teorien ser ut til å være at de tilsynelatende kvele på det 16.5.2 (a) versjonsidentifikator hvis du bestemmer deg for å besøke dem med en oppdatert versjon av Safari.)

Hva gjør jeg?

Det er strengt tatt bare Apple som vet hva som skjer her, og det sier ikke noe. (I hvert fall ikke offisielt via sikkerhetsportalen (HT201222) eller dens Om Rapid Security Responses side (HT201224.)

Vi foreslår, hvis du allerede har oppdateringen, at du ikke fjerner den med mindre den virkelig forstyrrer din evne til å bruke telefonen din med nettsidene eller appene du trenger for jobben, eller med mindre din egen IT-avdeling uttrykkelig ber deg om å rulle tilbake til "ikke-(a)"-smaken til macOS, iOS eller iPadOS.

Tross alt ble denne oppdateringen ansett som egnet for en rask respons fordi utnyttelsen den fikser er et i naturen, nettleserbasert ekstern kjøring av kode (RCE) hull.

Hvis du trenger eller ønsker å fjerne RSR, kan du gjøre dette:

• Hvis du har en iPhone eller iPad. Gå til innstillinger > general > Om oss > iOS/iPadOS-versjon Og velg Fjern sikkerhetsrespons.
• Hvis du har en Mac. Gå til Systeminnstillinger > general > Om oss og klikk på (i) ikonet på slutten av elementet macOS Ventura.

Merk at vi installerte RSR med en gang på macOS Ventura 13.4.1 og iOS 16.5.1, og har ikke hatt noen problemer med å surfe til våre vanlige nettsteder via Safari eller Edge. (Husk at alle nettlesere bruker WebKit på Apple-mobilenheter!)

Derfor har vi ikke til hensikt å fjerne oppdateringen, og vi er ikke villige til å gjøre det eksperimentelt, fordi vi ikke aner om vi vil kunne installere den på nytt etterpå.

Kommentatorer har antydet at oppdateringen rett og slett ikke blir rapportert når de prøver fra en ikke-patchet enhet, men vi har ikke prøvd å re-lappe en tidligere lappet enhet for å se om det gir deg en magisk billett for å hente oppdateringen igjen.

For å si det enkelt:

• Hvis du allerede har lastet ned macOS 13.4.1 (a) eller iOS/iPadOS 16.5.1 (a), behold oppdateringen med mindre du absolutt må kvitte deg med den, gitt at den sikrer deg mot et nulldagershull.
• Hvis du har installert den og virkelig trenger eller ønsker å fjerne den, se instruksjonene ovenfor, men anta at du ikke vil kunne installere den på nytt senere, og vil derfor plassere deg selv i den tredje kategorien nedenfor.
• Hvis du ikke har det ennå, se denne plassen. Vi tipper at (a) lappen vil raskt bli erstattet av en (b) patch, fordi hele ideen med disse "bokstavsoppdateringene" er at de er ment å være raske svar. Men det er bare Apple som vet sikkert.

Vi lapper våre vanlige råd fra i går ved å si: Ikke utsett; gjør det så snart Apple og enheten din lar deg.

---

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/