Atualizações para a história de atualização de dia zero da Apple – usuários de iPhone e iPad leiam isto! Inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.

Atualizações para a história de atualização de dia zero da Apple – usuários de iPhone e iPad lêem isso!

Carimbo de data / hora: 28 de outubro de 2022 8h04

by
Paul Ducklin

Leitores regulares saberão duas coisas sobre nossa atitude em relação aos patches de segurança da Apple:

  • Gostamos de recebê-los o mais rápido possível. Seja uma atualização de versão completa que também inclui várias correções de segurança ou uma versão pontual (uma em que o número de versão mais à esquerda não muda) com o objetivo principal de corrigir bugs em vez de adicionar novos recursos, preferimos errar em o lado de aplicar correções de segurança conhecidas do que deixar nossos dispositivos com falhas que os invasores já conhecem, mesmo que ainda não saibam como explorá-las.
  • No entanto, muitas vezes achamos os boletins da Apple confusos. Por exemplo, você nunca sabe onde está se estiver preso em uma versão que não recebeu uma atualização desta vez.

Os últimos boletins de segurança da Apple, que saíram no início desta semana, parecem exemplificar como a empresa às vezes parece aumentar a confusão falando muito pouco… o que nem sempre é uma alternativa feliz para descobrir muito:

Confusão emergente

Com base nas perguntas e comentários que recebemos dos leitores nos últimos dias, surgiu a seguinte confusão:

  • Por que um único boletim de segurança descreve as atualizações apelidadas de iOS 16.1 e iPadOS 16? Sabemos que o iPadOS 16 foi adiado, então essa atualização recente significa que o iPadOS agora estava sendo corrigido apenas para o mesmo nível de segurança do iOS 16, lançado há mais de um mês, enquanto o iOS avançou para 16.1, deixando o iPadOS mais de cinco semanas à deriva em termos de segurança cibernética?
  • Por que o iPadOS 16 acabou se informando como versão 16.1? (Obrigado a Stefaan da Bélgica por tirar screenshots de seu processo de atualização do iPad e enviá-las.) Após a atualização, o About tela aparentemente diz iPadOS 16, como o boletim de segurança fez, enquanto o iPadOS Version tela diz explicitamente 16.1. Parece que iPhones e iPads agora não apenas suportam “a família de versões conhecida como 16”, mas também possuem as correções de segurança mais recentes, então por que não simplesmente chamar os dois de versão 16.1 em todos os lugares para maior clareza, inclusive no boletim de segurança e no About tela?
  • Para onde foi o macOS 10 Catalina? Tradicionalmente, a Apple abandona o suporte para a versão X-3 do macOS quando a versão X é lançada, mas essa é a explicação real de por que o macOS 11 Big Sur e o macOS 12 Monterey (versões X-2 e X-1 respectivamente) receberam atualizações enquanto Catalina não t?
  • O que aconteceu com o iOS/iPadOS 15.7.1? Quando o iOS 16 saiu em setembro de 2022, a família de versões anterior também recebeu atualizações críticas, levando-a para a versão 15.7. Isso incluiu uma correção crítica para fechar um buraco de dia zero no nível do kernel sob exploração ativa, que muitas vezes se traduz como “alguém está infiltrando spyware nos iPhones, pessoal”. Então, dado que o iOS 16.1 incluiu Ainda outra correção zero-day do kernel, talvez fechando uma avenida sendo explorada por ainda mais spyware, onde estava o patch correspondente para a família iOS/iPadOS 15, que por analogia você assumiria que seria 15.7.1?

Como dissemos em podcast de ontem, diante da quarta pergunta acima de um leitor preocupado, nossa resposta curta foi simplesmente: “DUCK: Não sei./DOUG: Claro como lama”.

Às vezes, os bugs de segurança na versão X do sistema operacional simplesmente não se aplicam à versão X-1, por exemplo, porque os bugs existem no código que só foi adicionado, ou apenas exposto a perigo, em versões mais recentes.

Mas também vimos a Apple deixar de produzir atualizações para versões anteriores por dois outros motivos, ou [a] porque uma atualização é realmente necessária, mas acabou sendo muito difícil de se preparar e testar a tempo, ou [b] porque a versão anterior agora era considerada sem suporte e não receberia uma atualização, necessária ou não.

E com os boletins de segurança da Apple quase sempre informando apenas sobre os patches que estão disponíveis no momento, as atualizações ausentes continuam sendo um mistério inexplicável (e inexplicável).

Uma explosão de boletins

Bem, esta manhã recebemos uma explosão de 15 e-mails de boletins de segurança da Apple, a maioria deles listando muitos dos bugs numerados CVE e problemas de segurança relatados nos boletins que já tínhamos visto no início da semana.

Nenhum deles esclareceu diretamente as três primeiras perguntas acima, embora agora assumamos que o motivo da Apple se referir ao “iPadOS 16” e também ao “iPadOS 16.1” foi uma tentativa possivelmente equivocada de transmitir a informação de que o iPadOS estava agora recebendo seu atraso atualização para a família de versões 16, além de obter um atualizar equivalente em correções de segurança para o novo iOS 16.1.

Mas o primeiro boletim da última salva da Apple resolveu a última questão listada acima, anunciando o iOS/iPadOS 15.7.1, que acaba sendo um correção crítica:

APPLE-SA-2022-10-27-1: iOS 15.7.1 e iPadOS 15.7.1 iOS 15.7.1 e iPadOS 15.7.1 resolvem os seguintes problemas. Informações sobre o conteúdo de segurança também estão disponíveis em https://support.apple.com/HT213490. [. . .] Kernel Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração) Impacto: um aplicativo pode ser capaz de para executar código arbitrário com privilégios de kernel. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente. Descrição: um problema de gravação fora dos limites foi resolvido com a verificação de limites aprimorada. CVE-2022-42827: um pesquisador anônimo

Portanto, o iOS/iPadOS 15 ainda é suportado e, se você não mordeu a bala e atualizou para o iOS 16.1 (ou para o iPadOS 16-that-is-also-16.1) no início da semana…

…então você deve se certificar de que obtenha o iOS/iPadOS 15.7.1 imediatamente, porque o buraco de dia zero do kernel CVE-2022-42827 corrigido no iOS 16.1 está bem ali no iOS/iPadOS 15.7, em exploração ativa.

Em outras palavras, este foi um daqueles casos em que o motivo da falta de atualização há alguns dias foi quase certamente simplesmente que os patches não estavam prontos a tempo.

O que fazer?

TL;DR se você for um usuário de iPhone ou iPad: se você ainda estiver na versão principal do iOS/iPadOS 15, vá para Configurações > Geral > Actualização de segurança Imediatamente.

Verifique mesmo se você ativou as atualizações automáticas e lembre-se não apenas de aprovar o download se ainda não o tiver, mas também de forçar seu dispositivo pela fase de instalação, que requer uma ou mais reinicializações (e faz, claro, deixe seu telefone ou tablet offline por um tempo).

TL;DR se você for a Apple: um pouco mais de clareza ajudaria muito nos boletins de segurança, especialmente quando você sabe que uma atualização crítica é o destino dos usuários de versões anteriores ou que eles não precisarão de uma atualização porque sua versão não foi afetada.

A propósito, se você decidiu avançar para o iOS/iPadOS 16.1 no início desta semana, apenas por segurança…

…você não pode voltar para o iOS/iPadOS 15.7.1, porque a Apple não permite downgrades.

(Os downgrades facilitam o jailbreak, que a Apple pretende evitar e, em qualquer caso, exigiria uma limpeza completa dos dados primeiro para evitar que um downgrade seja usado como um desvio de segurança malévolo "traga seu próprio bug" para exfiltrar informações pessoais.)

Carimbo de hora:

Mais de Segurança nua