A Apple retira silenciosamente sua última atualização de dia zero – e agora?

A Lei das Manchetes da Betteridge insiste que qualquer manchete apresentada como uma pergunta pode ser respondida instantaneamente com um simples “Não”.

Aparentemente, a teoria por trás desse humor (na verdade não é uma lei, nem uma regra, nem mesmo nada mais que uma sugestão) é que se o autor soubesse do que estava falando e tivesse evidências reais para apoiar seu caso, eles teriam escrito a manchete como um fato não diluído.

Bem, não somos jornalistas aqui no Naked Security, então felizmente não estamos sujeitos a esta lei.

A resposta implacável à nossa própria pergunta no título acima é, “Ninguém sabe, exceto a Apple, e a Apple não está dizendo.”

Uma resposta melhor, mas reconhecidamente intermediária, é: "Espere e veja."

Respostas rápidas

Esta história começou no final de ontem, no final de 2023-06-10, horário do Reino Unido, quando nós entusiasmados [você quer dizer 'excitavelmente?' – Ed.] escreveu um comunicado sobre a Apple segunda vez Resposta Rápida de Segurança (RSR):

Esses RSRs são, como nós explicado anteriormente, o esforço da Apple para fornecer correções de emergência de um único problema tão prontamente quanto projetos de código aberto bem gerenciados geralmente fazem, onde os patches de dia zero geralmente são lançados dentro de um ou dois dias após a descoberta de um problema, com atualizações após as atualizações imediatamente se investigações adicionais revelarem outros problemas que precisam ser corrigidos.

Uma razão pela qual os projetos de código aberto podem adotar esse tipo de abordagem é que eles geralmente fornecem uma página de download com o código-fonte completo de todas as versões lançadas oficialmente, de modo que, se você se apressar para adotar as correções mais recentes em horas, em vez de em dias ou semanas, e eles não funcionarem, não há barreira para reverter para a versão anterior até que a correção por correção esteja pronta.

O caminho de atualização oficial da Apple, no entanto, pelo menos para seus dispositivos móveis, sempre foi fornecer patches completos no nível do sistema que nunca podem ser revertidos, porque a Apple não gosta da ideia de os usuários fazerem o downgrade deliberadamente de seus próprios sistemas para explorar bugs antigos com o objetivo de desbloquear seus próprios dispositivos ou instalar sistemas operacionais alternativos.

Como resultado, mesmo quando a Apple produziu correções de emergência de um bug ou dois bugs para falhas de dia zero que já estavam sendo exploradas ativamente, a empresa precisava apresentar (e você precisava acreditar nisso) o que era essencialmente um Mão Única atualização, mesmo que tudo o que você realmente precisasse fosse um mínimo atualizar a um componente do sistema para corrigir um perigo claro e presente.

Entre no processo RSR, permitindo patches rápidos que você pode instalar rapidamente, que não exigem que você deixe o telefone offline por 15 a 45 minutos de reinicializações repetidas e que você pode remover posteriormente (e reinstalar, remover e assim por diante) se você decidir que a cura foi pior que a doença.

Bugs corrigidos temporariamente por meio de um RSR serão corrigidos permanentemente na próxima atualização de versão completa…

…para que os RSRs não precisem ou obtenham um número de versão totalmente novo.

Em vez disso, eles recebem uma letra de sequência anexada, de modo que a primeira resposta rápida de segurança para iOS 16.5.1 (lançada ontem) seja exibida em Configurações > Geral > Sobre as 16.5.1 (um).

(Não sabemos o que acontece se a sequência passar (z), mas estaríamos dispostos a fazer uma pequena aposta na resposta (aa), ou talvez (za) se a classificação alfabética for considerada importante.)

Aqui hoje, se foi amanhã

De qualquer forma, apenas algumas horas depois de aconselhar todos a obter iOS e iPadOS 16.5.1 (a), porque corrige uma exploração de dia zero no código WebKit da Apple e, portanto, quase certamente pode ser abusada por maldades de malware, como implantar spyware ou pegar dados privados do seu telefone...

…comentaristas (agradecimentos especiais a John Michael Leslie, que publicado em nossa página do Facebook) começaram a relatar que a atualização não estava mais aparecendo quando eles usaram Configurações > Geral > Atualização de software para tentar atualizar seus dispositivos.

Própria da Apple portal de segurança ainda lista [2023-07-11T15:00:00Z] as atualizações mais recentes como macOS 13.4.1(a) e iOS/iPadOS 16.5.1(a), datado de 2023/07/10, sem notas sobre se foram oficialmente suspensos ou não.

BUT relatórios através do site MacRumors sugerem que as atualizações foram retiradas por enquanto.

Uma razão sugerida é que o navegador Safari da Apple agora se identifica em solicitações da web com uma string User-Agent que inclui o apêndice (a) em seu número de versão.

Aqui está o que vimos quando apontamos nosso navegador Safari atualizado no iOS em um soquete TCP de escuta (formatado com quebras de linha para melhorar a legibilidade):

$ ncat -vv -l 9999 Ncat: Versão 7.94 ( https://nmap.org/ncat ) Ncat: Escutando em :::9999 Ncat: Escutando em 0.0.0.0:9999 Ncat: Conexão de 10.42.42.1. Ncat: Conexão de 10.42.42.1:13337. GET / HTTP/1.1 Host: 10.42.42.42:9999 Upgrade-Insecure-Requests: 1 Aceitar: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 como Mac OS X) AppleWebKit/605.1.15 (KHTML, como Gecko) Versão/16.5.2 (a) Móvel/15E148 Safari/604.1 Aceitar-Idioma: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate Connection: keep-alive NCAT DEBUG: Closing fd 5.

De acordo com alguns comentaristas do MacRumors, isso Version/ string, consistindo nos números e pontos usuais junto com algum texto estranho e inesperado entre colchetes, está confundindo alguns sites.

(Ironicamente, todos os sites que vimos culpados neste aparentemente jogo de culpa de erro de análise de string de versão parecem ser serviços muito mais comumente acessados ​​por aplicativos dedicados do que por meio de um navegador, mas a teoria parece ser que eles aparentemente engasgar com isso 16.5.2 (a) identificador de versão se você decidir visitá-los com uma versão atualizada do Safari.)

O que fazer?

Estritamente falando, apenas a Apple sabe o que está acontecendo aqui, e não está dizendo. (Pelo menos, não oficialmente por meio de seu portal de segurança (HT201222) ou seu Sobre respostas rápidas de segurança página (HT201224.)

Sugerimos, se você já tiver a atualização, que não a remova, a menos que ela interfira genuinamente em sua capacidade de usar seu telefone com os sites ou aplicativos necessários para o trabalho ou a menos que seu próprio departamento de TI diga explicitamente para você reverter ao sabor “não-(a)” do macOS, iOS ou iPadOS.

Afinal, esta atualização foi considerada adequada para uma resposta rápida porque a exploração que ela corrige é um buraco de execução remota de código (RCE) baseado em navegador.

Se você precisar ou desejar remover o RSR, faça o seguinte:

• Se você tiver um iPhone ou iPad. Acesse Configurações > Geral > Sobre > Versão iOS/iPadOS e escolha Remover resposta de segurança.
• Se você tiver um Mac. Acesse Configurações de sistema > Geral > Sobre E clique no (i) ícone no final do item intitulado macOS está chegando.

Observe que instalamos o RSR imediatamente no macOS Ventura 13.4.1 e iOS 16.5.1 e não tivemos nenhum problema ao navegar para nossos lugares habituais na web via Safari ou Edge. (Lembre-se de que todos os navegadores usam WebKit em dispositivos móveis da Apple!)

Portanto, não pretendemos remover a atualização e não estamos dispostos a fazê-lo experimentalmente, porque não temos ideia se poderemos reinstalá-la novamente depois.

Os comentaristas sugeriram que o patch simplesmente não é relatado quando eles tentam de um dispositivo sem patch, mas não tentamos refazer o patch de um dispositivo com patch anterior para ver se isso fornece um tíquete mágico para buscar a atualização novamente.

Basta colocar:

• Se você já baixou macOS 13.4.1 (a) ou iOS/iPadOS 16.5.1 (a), mantenha a atualização, a menos que você precise absolutamente se livrar dela, já que ela está protegendo você contra um buraco de dia zero.
• Se você instalou e realmente precisa ou quer removê-lo, veja nossas instruções acima, mas suponha que você não será capaz de reinstalá-lo mais tarde e, portanto, se colocará na terceira categoria abaixo.
• Se você ainda não tem, fique de olho neste espaço. Estamos supondo que o (a) patch será rapidamente substituído por um (b) patch, porque a ideia dessas “atualizações com letras” é que elas devem ser respostas rápidas. Mas só a Apple sabe ao certo.

Vamos corrigir nosso conselho usual de ontem, dizendo: Não atrase; faça isso assim que a Apple e seu dispositivo permitirem.

---

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/