Apple je razkril svoje najnovejše popravke in odpravil več kot 50 varnostnih ranljivosti s številko CVE v svojem naboru podprtih izdelkov.
Ustrezni varnostni bilteni, številke posodobitev in kje jih najdete v spletu so naslednji:
- APPLE-SA-2022-07-20-1: iOS 15.6 in iPadOS 15.6, podrobnosti na HT213346
- APPLE-SA-2022-07-20-2: macOS Monterey 12.5, podrobnosti na HT213345
- APPLE-SA-2022-07-20-3: macOS Big Sur 11.6.8, podrobnosti na HT213344
- APPLE-SA-2022-07-20-4: Varnostna posodobitev 2022-005 Catalina, podrobnosti na HT213343
- APPLE-SA-2022-07-20-5: tvOS 15.6, podrobnosti na HT213342
- APPLE-SA-2022-07-20-6: glejte OS 8.7, podrobnosti na HT213340
- APPLE-SA-2022-07-20-7: Safari 15.6 podrobnosti na HT213341
Kot običajno pri Applu, so popravki brskalnika Safari vključeni v posodobitve za najnovejši macOS (Monterey) ter v posodobitve za iOS in iPad OS.
Toda posodobitve za starejše različice macOS ne vključujejo Safarija, zato je samostojna posodobitev Safarija (glejte HT213341 zgoraj) torej velja za uporabnike prejšnjih različic macOS (tako Big Sur kot Catalina sta še vedno uradno podprti), ki bodo morali prenesti in namestiti dve posodobitvi, ne samo eno.
Častni ničelni dan
Mimogrede, če imate Mac s starejšo različico macOS, ne pozabite na tisti drugi prenos za Safari, ker je življenjskega pomena, vsaj kolikor vidimo.
To je zato, ker eden od popravkov, povezanih z brskalnikom, v tem krogu posodobitev obravnava ranljivost v WebRTC (spletne komunikacije v realnem času) poznan kot CVE-2022-2294...
… in če se vam ta številka zdi znana, bi se tudi morala, ker gre za isto napako kot prej določen kot ničelni dan Google v Chromu (in Microsoft v Edge) pred približno dvema tednoma:
Zanimivo je, da Apple ni razglasil nobene od ranljivosti tega meseca kot "prijavljeno v divjini" ali kot "napake ničelnega dne", kljub zgoraj omenjenemu popravku, ki ga je Google poimenoval luknja ničelnega dne.
Ne moremo vam povedati, ali je to zato, ker hrošča v Safariju ni tako enostavno izkoristiti, ali preprosto zato, ker nihče ni izsledil nobene napake, specifične za Safari. zero-day« ranljivost in posledično vneto popravljanje popravkov.
Pwn2Own luknja zaprta
Apple je očitno odpravil tudi napako, ki jo je odkril nemški raziskovalec kibernetske varnosti Manfred Paul na nedavnem tekmovanju Pwn2Own v Kanadi maja 2022.
Najnovejši podcast 🎧 Poslušajte zdaj! Firefox & Pwn2Own, Apple in 0-day ... in matematika, ki je premagala Pitagoro.https://t.co/HDrZPQzlAQ pic.twitter.com/DxgdC8VM1j
— Gola varnost (@NakedSecurity) Maj 20, 2022
Manfred Paul je izkoristil Firefox z dvostopenjskim hroščem, ki mu je prinesel 100,000 $ (50,000 $ za vsak del), vstopil pa je tudi v Safari za nadaljnjih 50,000 $ nagrade.
Dejansko je Mozilla objavila svoj popravek za Paulove napake v dveh dneh od prejema njegovega poročila pri Pwn2Own:
Nasprotno pa je Apple potreboval dva meseca, da je izdal popravek po Pwn2Own:
WebKit
Učinek: Obdelava zlonamerno izdelane spletne vsebine lahko privede do izvajanja poljubne kode
Opis: Težavo pisanja izven meja smo odpravili z izboljšanim preverjanjem vnosa.
CVE-2022-32792: Manfred Paul (@_manfp) sodeluje s pobudo Trend Micro Zero Day [Pwn2Own]
Vendar ne pozabite, da je odgovorno razkritje del tekmovanja Pwn2Own, kar pomeni, da mora vsakdo, ki zahteva nagrado, ne le predati vseh podrobnosti o svojem izkoriščanju prizadetemu prodajalcu, ampak tudi molčati o ranljivosti, dokler popravek ni na voljo. .
Z drugimi besedami, ne glede na to, kako hvalevreden in razburljiv je bil Mozillin dvodnevni čas dostave popravkov, je Applov veliko počasnejši odziv vseeno sprejemljiv.
Video prenosi v živo, ki ste jih morda videli pri Pwn2Own, so služili za prikaz, ali je bil napad vsakega tekmovalca uspešen, namesto da bi razkrili kakršne koli informacije o tem, kako je napad dejansko deloval. Videozasloni, ki so jih uporabljali tekmovalci, so bili obrnjeni s hrbtom proti kameri, tako da ste lahko videli obraze tekmovalcev in sodnikov, ne pa tudi, kaj so tipkali ali gledali.
Večstopenjski napadi
Kot običajno številne napake, ki jih je Apple popravil v teh posodobitvah, vključujejo ranljivosti, ki bi jih teoretično lahko odločni napadalci povezali skupaj.
Naveden hrošč s pridržkom, da "aplikacija s korenskimi pravicami lahko izvede poljubno kodo s pravicami jedra" na prvi pogled ne zveni zelo zaskrbljujoče.
Konec koncev, če ima napadalec že korenska pooblastila, ima tako ali tako v veliki meri nadzor nad vašim računalnikom.
Ko pa drugje v sistemu opazite napako, ki je navedena z opozorilom, da "aplikacija lahko pridobi korenske pravice", lahko vidite, kako je lahko slednja ranljivost priročna in nepooblaščena odskočna deska za prvo.
In ko opazite tudi napako pri upodabljanju slik, opisano kot »obdelava zlonamerno izdelane datoteke lahko privede do izvajanja poljubne kode«, lahko hitro vidite, da:
- Spletna stran z minirano pastjo bi lahko vsebovala sliko, ki zažene nezaupljivo kodo.
- Ta nezaupanja vredna koda bi lahko vstavite aplikacijo z nizkimi privilegiji.
- Neželena aplikacija bi lahko pridobi koreninske moči zase.
- Zdaj korenska aplikacija bi lahko v jedro vbrizga svojo lažno kodo.
Z drugimi besedami, vsaj teoretično, samo ogledovanje na videz nedolžnega spletnega mesta ...
... bi vas lahko spravilo v slap težav, tako kot slavni rek pravi, »Zaradi pomanjkanja žeblja se je čevelj izgubil; zaradi pomanjkanja podkova je bil konj izgubljen; zaradi pomanjkanja konja se je sporočilo izgubilo; zaradi pomanjkanja sporočila je bila bitka izgubljena ... vse zaradi pomanjkanja podkve.«
Kaj storiti?
Zato, kot vedno, priporočamo, da popravite zgodaj; obliž pogosto; pokrpati vse.
Apple ima zasluge, da je popravljanje vsega privzeto: ne morete izbrati, katere popravke boste uvedli in katere pustite »za pozneje«.
Edina izjema od tega pravila, kot smo omenili zgoraj, je, da boste za macOS Big Sur in macOS Catalina prejeli večino posodobitev operacijskega sistema v enem velikem prenosu, ki mu bo sledil ločen postopek prenosa in posodobitve za namestitev najnovejšo različico Safarija.
Kot vedno:
- Na vašem iPhone ali iPad: Nastavitve > splošno > Posodobitev programske opreme
- V računalniku Mac: Apple meni > O tem Macu > Posodobitev programske opreme…
- Apple
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- iPad
- iPhone
- Kaspersky
- mac
- MacOS
- zlonamerna programska oprema
- Mccafee
- Gola varnost
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- ranljivost
- spletna varnost
- zefirnet
![S3 Ep110: Spotlight on cyberthreats – an expert speaks [Audio + Text] PlatoBlockchain Data Intelligence. Vertical Search. Ai.](https://platoblockchain.com/wp-content/uploads/2022/11/tr-readnow-640-360x169.png "S3 Ep110: V središču pozornosti kibernetske grožnje – strokovnjak govori [zvok + besedilo]")
![S3 Ep116: Zadnja slama za LastPass? Je kripto obsojeno na propad? [Avdio + besedilo]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text-360x220.jpg "S3 Ep116: Zadnja slama za LastPass? Je kripto obsojeno na propad? [Avdio + besedilo]")
![S3 Ep111: Poslovno tveganje zanikrnega »odfiltra golote« [zvok + besedilo] PlatoBlockchain Data Intelligence. Navpično iskanje. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Poslovno tveganje zanikrnega »odfiltra golote« [zvok + besedilo]")
