Actualizări la povestea actualizărilor de zi zero a Apple – utilizatorii de iPhone și iPad citesc asta!

Cititorii obișnuiți vor ști două lucruri despre atitudinea noastră față de corecțiile de securitate Apple:

• Ne place să le luăm cât mai curând posibil. Fie că este vorba de o actualizare a versiunii complete care include și o mulțime de remedieri de securitate sau de o lansare punctuală (una în care numărul de versiune din stânga nu se schimbă) cu scopul principal de a corecta erori, mai degrabă decât de a adăuga funcții noi, mai degrabă am greși. partea de a aplica corecții de securitate cunoscute decât de a lăsa dispozitivele noastre cu găuri de care atacatorii sunt acum conștienți, chiar dacă nu știu încă cum să le exploateze.
• Cu toate acestea, foarte frecvent găsim buletinele Apple confuze. De exemplu, nu știi niciodată unde te afli dacă ești blocat pe o versiune care nu a primit o actualizare de data aceasta.

Cele mai recente buletine de securitate ale Apple, care au apărut chiar la începutul acestei săptămâni, par să exemplifice modul în care compania pare să crească uneori confuzia spunând prea puțin... ceea ce nu este întotdeauna o alternativă fericită pentru a afla prea multe:

Confuzie emergentă

Pe baza întrebărilor și comentariilor pe care le-am primit de la cititori în ultimele zile, a apărut următoarea confuzie:

• De ce un singur buletin de securitate descrie actualizări denumite iOS 16.1 și iPadOS 16? Știm că iPadOS 16 a fost întârziat, așa că această actualizare recentă a însemnat că iPadOS a fost corectat acum doar la același nivel de securitate ca iOS 16, care a apărut acum mai bine de o lună, în timp ce iOS a avansat la 16.1, lăsând astfel iPadOS mai mult de cinci săptămâni în derivă în termeni de securitate cibernetică?
• De ce s-a raportat în cele din urmă iPadOS 16 ca versiune 16.1? (Mulțumesc lui Stefaan din Belgia pentru că a făcut capturi de ecran ale procesului său de actualizare a iPad-ului și le-a trimis.) După actualizare, About ecranul aparent spune iPadOS 16, așa cum a făcut buletinul de securitate, în timp ce iPadOS Version ecranul spune în mod explicit 16.1. Se pare că iPhone-urile și iPad-urile acum nu numai că acceptă „familia de versiuni cunoscută sub numele de 16”, ci și ambele au cele mai recente remedieri de securitate, așa că de ce să nu le apelați pur și simplu versiunea 16.1 peste tot pentru claritate, inclusiv în buletinul de securitate iar pe About ecran?
• Unde a ajuns macOS 10 Catalina? În mod tradițional, Apple renunță la suportul pentru versiunea macOS X-3 când apare versiunea X, dar este că explicația reală a motivului pentru care macOS 11 Big Sur și macOS 12 Monterey (versiunile X-2 și respectiv X-1) au primit actualizări în timp ce Catalina t?
• Ce s-a întâmplat cu iOS/iPadOS 15.7.1? Când iOS 16 a ieșit în septembrie 2022, familia de versiuni anterioare a primit și actualizări critice, ducând-o la versiunea 15.7. Aceasta a inclus o remediere critică pentru a închide a gaură zero-day la nivel de nucleu sub exploatare activă, care adesea se traduce prin „cineva acolo furișează spyware pe iPhone-uri, oameni buni”. Deci, având în vedere că iOS 16.1 este inclus Inca una Remedierea kernel-ului zero-day, poate închizând o cale care este exploatată de încă mai multe programe spyware, unde a fost patch-ul corespunzător pentru familia iOS/iPadOS 15, care, prin analogie, ați presupune că ar fi 15.7.1?

După cum am spus în podcastul de ieri, confruntat cu a patra întrebare de mai sus a unui cititor îngrijorat, răspunsul nostru scurt a fost simplu: „RATĂ: Nu știu./DOUG: Limpede ca noroiul”.

Uneori, erorile de securitate din versiunea X a sistemului de operare pur și simplu nu se aplică pentru versiunea X-1, de exemplu, deoarece erorile există în codul care a fost adăugat doar sau expus doar pericolului în versiunile mai noi.

Dar am văzut, de asemenea, că Apple nu reușește să producă actualizări pentru versiunile anterioare din alte două motive, fie [a] pentru că o actualizare este cu adevărat necesară, dar s-a dovedit a fi prea dificil pentru a fi pregătit și testat la timp, fie [b] pentru că versiunea anterioară a fost acum considerată ca fiind lipsită de suport și nu urma să primească o actualizare, indiferent dacă este necesar sau nu.

Și, având în vedere că buletinele de securitate Apple vă vorbesc aproape întotdeauna doar despre patch-urile care sunt disponibile chiar acum, actualizările lipsă rămân în mod regulat un mister inexplicabil (și inexplicabil).

O explozie de buletine

Ei bine, în această dimineață am primit o suflare de 15 e-mailuri cu buletine de securitate de la Apple, cele mai multe dintre ele enumerând multe dintre erorile numerotate CVE și problemele de securitate raportate în buletinele pe care le-am văzut deja la începutul săptămânii.

Niciunul dintre ei nu a clarificat în mod direct primele trei întrebări de mai sus, deși acum presupunem că motivul pentru care Apple s-a referit la „iPadOS 16”, precum și la „iPadOS 16.1” a fost o posibilă încercare greșită de a transmite informațiile că iPadOS a primit acum întârziere. upgrade-ul la versiunea familiei 16, precum și obținerea unui actualizare echivalent în remedieri de securitate cu noul iOS 16.1.

Dar chiar primul buletin din cea mai recentă salvă de la Apple a rezolvat ultima întrebare enumerată mai sus, anunțând iOS/iPadOS 15.7.1, care se dovedește a fi un reparație critică:

APPLE-SA-2022-10-27-1: iOS 15.7.1 și iPadOS 15.7.1 iOS 15.7.1 și iPadOS 15.7.1 abordează următoarele probleme. Informații despre conținutul de securitate sunt disponibile și la https://support.apple.com/HT213490. [. . .] Kernel Disponibil pentru: iPhone 6s și versiuni ulterioare, iPad Pro (toate modelele), iPad Air 2 și versiuni ulterioare, iPad a 5-a generație și mai recente, iPad mini 4 și versiuni ulterioare și iPod touch (a șaptea generație) Impact: o aplicație poate fi capabilă pentru a executa cod arbitrar cu privilegii de nucleu. Apple este la curent cu un raport conform căruia această problemă ar fi putut fi exploatată în mod activ. Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin verificarea îmbunătățită a limitelor. CVE-7-2022: un cercetător anonim

Deci, iOS/iPadOS 15 este încă acceptat, iar dacă nu ați mușcat glonțul și nu ați făcut upgrade la iOS 16.1 (sau la iPadOS 16-care-este-tot-16.1, numit schismic) la începutul săptămânii...

… atunci ar trebui să te asiguri obțineți imediat iOS/iPadOS 15.7.1, deoarece gaura zero-day a nucleului CVE-2022-42827 remediată în iOS 16.1 este chiar acolo în iOS/iPadOS 15.7, în exploatare activă.

Cu alte cuvinte, acesta a fost unul dintre acele cazuri în care motivul actualizării lipsă de acum câteva zile a fost aproape sigur că patch-urile nu erau gata la timp.

Ce să fac?

TL;DR dacă sunteți utilizator de iPhone sau iPad: dacă încă sunteți pe iOS/iPadOS versiunea majoră 15, accesați Setări cont > General > Actualizare de securitate imediat.

Verificați chiar dacă aveți actualizări automate activate și amintiți-vă nu numai să aprobați descărcarea dacă nu o aveți deja, ci și să forțați dispozitivul în etapa de instalare, care necesită una sau mai multe reporniri (și face, desigur, luați telefonul sau tableta offline pentru un timp).

TL;DR dacă ești Apple: Puțin mai multă claritate ar ajuta foarte mult în buletinele de securitate, mai ales când știți fie că o actualizare critică este la dispoziție pentru utilizatorii versiunilor anterioare, fie că aceștia nu vor avea nevoie de o actualizare deoarece versiunea lor nu este afectată.

Apropo, dacă ați decis să treceți înainte la iOS/iPadOS 16.1 la începutul acestei săptămâni, doar pentru a fi în siguranță...

... acum nu puteți reveni la iOS/iPadOS 15.7.1, deoarece Apple nu permite downgrade-uri.

(Downgrade-urile facilitează jailbreaking-ul, pe care Apple își propune să-l prevină și, în orice caz, ar necesita mai întâi o ștergere completă a datelor pentru a preveni utilizarea unui downgrade ca un bypass de securitate răuvoitor „aduceți-vă propriul bug” pentru a exfiltra informațiile personale.)

---