Firma Apple wypuściła swoje najnowsze poprawki, naprawiając ponad 50 luk w zabezpieczeniach o numerach CVE w swojej gamie obsługiwanych produktów.
Odpowiednie biuletyny dotyczące zabezpieczeń, numery aktualizacji i informacje o tym, gdzie można je znaleźć w Internecie, są następujące:
- JABŁKO-SA-2022-07-20-1: iOS 15.6 i iPadOS 15.6, szczegóły na HT213346
- JABŁKO-SA-2022-07-20-2: macOS Monterey 12.5, szczegóły na HT213345
- JABŁKO-SA-2022-07-20-3: macOS Big Sur 11.6.8, szczegóły na HT213344
- JABŁKO-SA-2022-07-20-4: Aktualizacja bezpieczeństwa 2022-005 Catalina, szczegóły na HT213343
- JABŁKO-SA-2022-07-20-5: TVOS 15.6, szczegóły na HT213342
- JABŁKO-SA-2022-07-20-6: obserwuj OS 8.7, szczegóły na HT213340
- JABŁKO-SA-2022-07-20-7: Safari 15.6 szczegóły na HT213341
Jak zwykle w przypadku Apple, łatki przeglądarki Safari są dołączone do aktualizacji dla najnowszego systemu macOS (Monterey), a także do aktualizacji dla systemów iOS i iPad OS.
Jednak aktualizacje starszych wersji systemu macOS nie zawierają przeglądarki Safari, więc samodzielna aktualizacja Safari (patrz HT213341 powyżej) dotyczy zatem użytkowników poprzednich wersji systemu macOS (zarówno Big Sur, jak i Catalina są nadal oficjalnie obsługiwane), którzy będą musieli pobrać i zainstalować dwie aktualizacje, a nie tylko jedną.
Honorowy dzień zerowy
Przy okazji, jeśli masz Maca z wcześniejszą wersją systemu macOS, nie zapomnij o tym drugim pobraniu dla Safari, ponieważ jest to niezwykle ważne, przynajmniej na ile możemy to zobaczyć.
Dzieje się tak, ponieważ jedna z łat związanych z przeglądarką w tej rundzie aktualizacji dotyczy luki w zabezpieczeniach WebRTC (komunikacja internetowa w czasie rzeczywistym) znany jako CVE-2022-2294...
…a jeśli ta liczba brzmi znajomo, to powinna, bo to ten sam błąd, który był ustalona jako zero-day przez Google w Chrome (i przez Microsoft w Edge) około dwa tygodnie temu:
Co ciekawe, Apple nie zadeklarował żadnej z luk w zabezpieczeniach w tym miesiącu jako „zgłoszone na wolności” lub „błędy dnia zerowego”, pomimo wspomnianej wyżej łatki, która została nazwana przez Google dziurą dnia zerowego.
Niezależnie od tego, czy chodzi o błąd, który nie jest tak łatwy do wykorzystania w Safari, czy po prostu dlatego, że nikt nie wykrył żadnego niewłaściwego zachowania charakterystycznego dla Safari z tą konkretną usterką, nie możemy Ci powiedzieć, ale traktujemy to jako „zaszczyt zero-day” i w rezultacie gorliwe łatanie.
Otwór Pwn2Own zamknięty
Apple najwyraźniej naprawił również błąd znaleziony przez niemieckiego badacza cyberbezpieczeństwa Manfreda Paula podczas niedawnego konkursu Pwn2Own w Kanadzie, w maju 2022 roku.
Najnowszy podcast 🎧 Posłuchaj! Firefox i Pwn2Own, Apple i dzień 0… i matematyka, która pokonała Pitagorasa.https://t.co/HDrZPQzlAQ pic.twitter.com/DxgdC8VM1j
— Nagie bezpieczeństwo (@NakedSecurity) 20 maja 2022 r.
Manfred Paul wykorzystał Firefoksa z dwuetapowym błędem, który przyniósł mu 100,000 50,000 USD (50,000 XNUMX USD za każdą część), a także dostał się do Safari, aby otrzymać kolejną nagrodę w wysokości XNUMX XNUMX USD.
Rzeczywiście, Mozilla opublikowała swoją poprawkę na błędy Paula w ciągu dwóch dni otrzymania raportu w Pwn2Own:
Natomiast Apple zajęło dwa miesiące, aby dostarczyć łatkę post-Pwn2Own:
WebKit
Wpływ: Przetwarzanie złośliwie spreparowanej treści internetowej może prowadzić do wykonania dowolnego kodu
Opis: Rozwiązano problem z zapisem poza zakresem, poprawiając weryfikację danych wejściowych.
CVE-2022-32792: Manfred Paul (@_manfp) współpracujący z Trend Micro Zero Day Initiative [Pwn2Own]
Pamiętaj jednak, że odpowiedzialne ujawnienie jest częścią konkursu Pwn2Own, co oznacza, że każdy, kto odbiera nagrodę, jest zobowiązany nie tylko do przekazania pełnych szczegółów dotyczących swojego exploita dostawcy, którego dotyczy problem, ale także do milczenia na temat luki w zabezpieczeniach, dopóki łatka nie zostanie opublikowana. .
Innymi słowy, choć dwudniowy czas dostarczenia poprawki przez Mozillę był godny pochwały i ekscytujący, znacznie wolniejsza reakcja Apple jest jednak akceptowalna.
Strumienie wideo na żywo, które mogłeś zobaczyć z Pwn2Own, służyły do wskazania, czy atak każdego konkurenta się powiódł, a nie do ujawnienia jakichkolwiek informacji o tym, jak faktycznie zadziałał atak. Wyświetlacze wideo używane przez zawodników były odwrócone tyłem do kamery, dzięki czemu można było zobaczyć twarze zawodników i sędziów, ale nie to, co pisali lub na co patrzyli.
Ataki wieloetapowe
Jak zwykle, liczne błędy załatane przez Apple w tych aktualizacjach obejmują luki, które teoretycznie mogą być połączone ze sobą przez zdeterminowanych napastników.
Błąd wymieniony z zastrzeżeniem, że „aplikacja z uprawnieniami roota może być w stanie wykonać dowolny kod z uprawnieniami jądra” na początku nie brzmi strasznie niepokojąco.
W końcu, jeśli atakujący ma już uprawnienia roota, i tak kontroluje komputer.
Ale kiedy zauważysz błąd w innym miejscu systemu, który jest wymieniony z ostrzeżeniem, że: „aplikacja może być w stanie uzyskać uprawnienia administratora”, możesz zobaczyć, jak ta druga luka może być wygodną i nieautoryzowaną odskocznią do pierwszej.
A kiedy zauważysz również błąd renderowania obrazu opisany jako „przetwarzanie złośliwie spreparowanego pliku może prowadzić do wykonania dowolnego kodu”, możesz szybko zobaczyć, że:
- Strona internetowa z pułapką może zawierać obraz, który: uruchamia niezaufany kod.
- Ten niezaufany kod może: wszczepić aplikację o niskim poziomie uprawnień.
- Niechciana aplikacja może: nabyć dla siebie uprawnień roota.
- Aplikacja teraz root może wstrzyknąć własny fałszywy kod do jądra.
Innymi słowy, przynajmniej teoretycznie, po prostu patrząc na pozornie niewinną stronę…
…może wpaść w kaskadę kłopotów, tak jak w słynnym powiedzeniu: „Z braku gwoździa zgubiono but; z braku buta koń zaginął; z braku konia wiadomość została utracona; z braku wiadomości bitwa została przegrana… wszystko z braku gwoździa w kształcie podkowy.”
Co robić?
Dlatego, jak zawsze, zalecamy wczesne łatanie; często łatać; wszystko załatać.
Apple, trzeba przyznać, sprawia, że łatanie wszystkiego jest domyślne: nie masz możliwości wyboru, które poprawki wdrożyć, a które zostawić „na później”.
Jedynym wyjątkiem od tej reguły, jak wspomnieliśmy powyżej, jest to, że w przypadku macOS Big Sur i macOS Catalina większość aktualizacji systemu operacyjnego otrzymasz w jednym gigantycznym pobraniu, po czym nastąpi oddzielny proces pobierania i aktualizacji w celu zainstalowania najnowsza wersja Safari.
Jak zwykle:
- Na iPhonie lub iPadzie: Ustawienia > Ogólne > Aktualizacja oprogramowania
- Na komputerze Mac: Menu Apple > O tym komputerze Mac > Aktualizacja oprogramowania…
- Apple
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- iPad
- iPhone
- Kaspersky
- mac
- MacOS
- malware
- Mcafee
- Nagie bezpieczeństwo
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- wrażliwość
- zabezpieczenia stron internetowych
- zefirnet