Aktualizacje historii aktualizacji zero-day firmy Apple — użytkownicy iPhone'ów i iPadów to czytają!

Stali czytelnicy będą wiedzieć dwie rzeczy o naszym podejściu do poprawek bezpieczeństwa Apple:

• Lubimy je zdobywać tak szybko, jak to możliwe. Niezależnie od tego, czy jest to aktualizacja pełnej wersji, która zawiera również kilka poprawek bezpieczeństwa, czy też wydanie punktowe (takie, w którym numer wersji po lewej stronie nie zmienia się) z głównym celem łatania błędów, a nie dodawania nowych funkcji, wolelibyśmy popełniać błędy stronie stosowania znanych poprawek bezpieczeństwa niż pozostawianie naszych urządzeń z dziurami, o których atakujący są teraz świadomi, nawet jeśli nie wiedzą jeszcze, jak je wykorzystać.
• Niemniej jednak bardzo często biuletyny Apple są mylące. Na przykład nigdy do końca nie wiesz, na czym stoisz, jeśli utknąłeś na wersji, która tym razem nie otrzymała aktualizacji.

Najnowsze biuletyny bezpieczeństwa firmy Apple, które ukazały się wcześniej w tym tygodniu, zdają się ilustrować, jak firma czasami wydaje się zwiększać zamieszanie, mówiąc za mało… co nie zawsze jest szczęśliwą alternatywą dla dowiedzenia się zbyt wiele:

Pojawiające się zamieszanie

Na podstawie zapytań i komentarzy, które otrzymaliśmy od czytelników w ciągu ostatnich kilku dni, pojawiło się następujące zamieszanie:

• Dlaczego w jednym biuletynie zabezpieczeń opisano aktualizacje nazwane iOS 16.1 i iPadOS 16? Wiemy, że iPadOS 16 był opóźniony, więc czy ta ostatnia aktualizacja oznaczała, że ​​iPadOS był teraz aktualizowany tylko do tego samego poziomu bezpieczeństwa, co iOS 16, który pojawił się ponad miesiąc temu, podczas gdy iOS rozszerzył się do 16.1, pozostawiając iPadOS ponad pięć tygodni dryfujących w kategoriach cyberbezpieczeństwa?
• Dlaczego iPadOS 16 ostatecznie zgłosił się jako wersja 16.1? (Podziękowania dla Stefaana z Belgii za zrobienie zrzutów ekranu z procesu aktualizacji iPada i przesłanie ich.) Po aktualizacji About ekran najwyraźniej pokazuje iPadOS 16, tak jak zrobił to biuletyn bezpieczeństwa, podczas gdy iPadOS Version ekran wyraźnie mówi 16.1. Wygląda na to, że iPhony i iPady teraz nie tylko obsługują „rodzinę wersji znaną jako 16”, ale także oba mają najnowsze poprawki bezpieczeństwa, więc dlaczego nie po prostu zadzwonić do obu wersji 16.1 wszędzie dla jasności, w tym w biuletynie bezpieczeństwa i na About ekran?
• Gdzie się podział macOS 10 Catalina? Tradycyjnie Apple opuszcza obsługę systemu macOS w wersji X-3, gdy pojawi się wersja X, ale jest to rzeczywiste wyjaśnienie, dlaczego macOS 11 Big Sur i macOS 12 Monterey (odpowiednio wersje X-2 i X-1) otrzymały aktualizacje, podczas gdy Catalina nie t?
• Co się stało z iOS/iPadOS 15.7.1? Gdy iOS 16 wyszedł we wrześniu 2022 r. poprzednia rodzina wersji również otrzymała krytyczne aktualizacje, wprowadzając ją do wersji 15.7. Obejmuje to krytyczną poprawkę, aby zamknąć dziura zero-day na poziomie jądra pod aktywną eksploatacją, co często tłumaczy się jako „ktoś tam przemyca oprogramowanie szpiegujące na iPhone'y, ludzie”. Tak więc, biorąc pod uwagę, że iOS 16.1 w zestawie jeszcze inny poprawka zero-day dla jądra, być może zamykająca drogę wykorzystywaną przez jeszcze więcej programów szpiegujących, gdzie była odpowiednia łatka dla rodziny iOS/iPadOS 15, którą przez analogię można by założyć, 15.7.1?

Jak powiedzieliśmy w wczorajszy podcast, w obliczu czwartego pytania powyżej od zaniepokojonego czytelnika, nasza krótka odpowiedź brzmiała po prostu: „KACZKA: Nie wiem. / DOUG: Czysta jak błoto”.

Czasami błędy bezpieczeństwa w systemie operacyjnym w wersji X po prostu nie dotyczą wersji X-1, na przykład dlatego, że błędy występują w kodzie, który został dodany lub narażony na niebezpieczeństwo tylko w nowszych wydaniach.

Ale widzieliśmy również, że Apple nie produkuje aktualizacji dla poprzednich wersji z dwóch innych powodów: [a] ponieważ aktualizacja jest naprawdę potrzebna, ale okazała się zbyt trudna, aby przygotować się i przetestować na czas, lub [b] ponieważ poprzednia wersja została uznana za nieobsługiwaną i nie dostanie aktualizacji, niezależnie od tego, czy jest to konieczne, czy nie.

A ponieważ biuletyny bezpieczeństwa Apple prawie zawsze informują tylko o dostępnych obecnie poprawkach, brakujące aktualizacje regularnie pozostają niewyjaśnioną (i niewyjaśnioną) tajemnicą.

Wybuch biuletynów

Cóż, dziś rano otrzymaliśmy od Apple serię 15 wiadomości e-mail dotyczących biuletynów bezpieczeństwa, z których większość zawiera listę błędów i problemów z zabezpieczeniami ponumerowanych przez CVE, zgłoszonych w biuletynach, które widzieliśmy już wcześniej w tym tygodniu.

Żadne z nich nie wyjaśniło bezpośrednio pierwszych trzech pytań powyżej, chociaż teraz zakładamy, że powodem, dla którego Apple odnosi się do „iPadOS 16”, a także „iPadOS 16.1”, była prawdopodobnie błędna próba przekazania informacji, że iPadOS jest teraz spóźniony uaktualnienie do rodziny wersji 16, a także uzyskanie aktualizacja odpowiednik w poprawkach bezpieczeństwa do nowego iOS 16.1.

Ale pierwszy biuletyn w najnowszej salwie Apple rozwiązał ostatnie pytanie wymienione powyżej, ogłaszając iOS/iPadOS 15.7.1, który okazuje się być krytyczna poprawka:

APPLE-SA-2022-10-27-1: iOS 15.7.1 i iPadOS 15.7.1 iOS 15.7.1 i iPadOS 15.7.1 rozwiązują następujące problemy. Informacje o zawartości zabezpieczającej są również dostępne pod adresem https://support.apple.com/HT213490. [. . .] Jądro Dostępne dla: iPhone 6s i nowsze, iPad Pro (wszystkie modele), iPad Air 2 i nowsze, iPad 5. generacji i nowsze, iPad mini 4 i nowsze oraz iPod touch (7. generacji) Zagrożenie: aplikacja może być w stanie do wykonania dowolnego kodu z uprawnieniami jądra. Apple wie o zgłoszeniu, że ten problem mógł być aktywnie wykorzystywany. Opis: naprawiono błąd zapisu poza granicami przez poprawienie sprawdzania granic. CVE-2022-42827: anonimowy badacz

Tak więc iOS/iPadOS 15 jest nadal obsługiwany, a jeśli nie ugryzłeś się w kulkę i nie uaktualniłeś do iOS 16.1 (lub schizmicznie nazwanego iPadOS 16-to-to-także-16.1) na początku tygodnia…

…to powinieneś się upewnić od razu pobierz iOS/iPadOS 15.7.1, ponieważ dziura zero-day w jądrze CVE-2022-42827 naprawiona w systemie iOS 16.1 jest dostępna w systemie iOS/iPadOS 15.7 i jest aktywnie wykorzystywana.

Innymi słowy, był to jeden z tych przypadków, w których przyczyną braku aktualizacji kilka dni temu było prawie na pewno po prostu to, że łatki nie były gotowe na czas.

Co robić?

TL;DR, jeśli jesteś użytkownikiem iPhone'a lub iPada: jeśli nadal korzystasz z głównej wersji 15 systemu iOS/iPadOS, przejdź do Ustawienia > Ogólne > Aktualizacja zabezpieczeń od razu.

Sprawdź nawet, czy masz włączone automatyczne aktualizacje i pamiętaj, aby nie tylko zatwierdzić pobieranie, jeśli jeszcze ich nie masz, ale także wymusić przejście urządzenia przez etap instalacji, który wymaga jednego lub więcej restartów (i robi, oczywiście przenieś na chwilę swój telefon lub tablet do trybu offline).

TL; DR, jeśli jesteś Apple: odrobina większej przejrzystości przydałaby się w biuletynach zabezpieczeń, zwłaszcza gdy wiadomo, że aktualizacja krytyczna jest skrzydłem dla użytkowników wcześniejszych wersji lub że nie będą potrzebować aktualizacji, ponieważ nie ma to wpływu na ich wersję.

Nawiasem mówiąc, jeśli zdecydowałeś się przejść do iOS/iPadOS 16.1 na początku tego tygodnia, tak na wszelki wypadek…

…nie możesz teraz wrócić do iOS/iPadOS 15.7.1, ponieważ Apple nie zezwala na zmiany wersji.

(Obniżenie wersji ułatwia jailbreaking, któremu Apple ma zapobiegać, a w każdym razie wymagałoby to najpierw pełnego wyczyszczenia danych, aby zapobiec wykorzystywaniu downgrade'u jako złośliwego obejścia bezpieczeństwa typu „przynieś własny błąd” w celu wykradzenia danych osobowych.)

---