Apple drar tyst sin senaste nolldagsuppdatering – vad nu?

Apple drar tyst sin senaste nolldagsuppdatering – vad nu?

Tidsstämpel: 11 juli 2023 11:21
Apple drar tyst sin senaste nolldagsuppdatering – vad nu? PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.
by Paul Ducklin

Betteridge's Law of Headlines insisterar på att varje rubrik som ställs som en fråga omedelbart kan besvaras med ett enkelt "Nej".

Tydligen är teorin bakom denna kvickhet (det är faktiskt inte en lag, inte heller en regel, inte ens i själva verket något mer än ett förslag) att om författaren visste vad de pratade om och hade verkliga bevis för att stödja deras fall, de skulle ha skrivit rubriken som ett outspätt faktum.

Tja, vi är inte journalister här på Naked Security, så lyckligtvis är vi inte bundna av denna lag.

Det hänsynslösa svaret på vår egen fråga i rubriken ovan är, "Ingen vet förutom Apple, och Apple säger inte."

Ett bättre men visserligen mitt på vägen svar är, "Vänta och se."

Snabba svar

Den här historien började sent i går, i slutet av 2023-06-10 brittisk tid, när vi ivrigt [menar du "upphetsat?" – Red.] skrev ett råd om Apples andra någonsin Rapid Security Response (RSR):

Dessa RSR är, som vi förklarade tidigare, Apples ansträngning att leverera nödfixar för en enda fråga så snabbt som välskötta projekt med öppen källkod i allmänhet gör, där nolldagarskorrigeringar ofta kommer ut inom en eller två dagar efter att ett problem hittats, med uppdateringar till uppdateringarna efter omedelbart om ytterligare undersökningar visar att ytterligare problem måste åtgärdas.

En anledning till att projekt med öppen källkod kan ta den här typen av tillvägagångssätt är att de vanligtvis tillhandahåller en nedladdningssida med den fullständiga källkoden för varje officiellt släppt version någonsin, så att om du skyndar dig att anta de senaste korrigeringarna på timmar, snarare än i dagar eller veckor, och de fungerar inte, finns det inget hinder för att återgå till den tidigare versionen tills fix-for-the-fixen är klar.

Apples officiella uppgraderingsväg, åtminstone för sina mobila enheter, har dock alltid varit att tillhandahålla fullständiga patchar på systemnivå som aldrig kan återställas, eftersom Apple inte gillar tanken på att användare medvetet nedgraderar sina egna system för att utnyttja gamla buggar i syfte att jailbreaka sina egna enheter eller installera alternativa operativsystem.

Som ett resultat, även när Apple producerade nödlösningar med en eller två buggar för nolldagarshål som redan utnyttjades aktivt, behövde företaget komma på (och du behövde lita på) vad som i huvudsak var en Enkel uppgradera, även om allt du egentligen behövde var en minmalistisk uppdatering till en komponent i systemet för att lappa en tydlig och aktuell fara.

Gå in i RSR-processen, vilket tillåter snabba patchar som du kan installera i en hast, som inte kräver att du kopplar din telefon offline under 15 till 45 minuter av upprepade omstarter, och som du senare kan ta bort (och installera om, och ta bort, och så vidare) om du bestämmer dig för att botemedlet var värre än sjukdomen.

Buggar som korrigeras tillfälligt via en RSR kommer att korrigeras permanent i nästa fullversionsuppgradering...

…så att RSR:er inte behöver eller får ett helt nytt versionsnummer.

Istället får de en sekvensbokstav bifogad, så att den första Rapid Security Response för iOS 16.5.1 (som kom ut igår) visas i Inställningar > Allmänt > Om oss as 16.5.1 (a).

(Vi vet inte vad som händer om sekvensen någonsin går förbi (z), men vi skulle vara villiga att ta en liten satsning på att svaret är (aa), eller kanske (za) om alfabetisk sorterbarhet anses vara viktig.)

Här idag borta imorgon

Hur som helst, bara några korta timmar efter att ha tipsat alla att skaffa iOS och iPadOS 16.5.1 (a), eftersom det fixar ett nolldagsutnyttjande i Apples WebKit-kod och därför nästan säkert kan missbrukas för otäck skadlig programvara som att implantera spionprogram eller greppa privat data från din telefon...

...kommentatorer (särskilt tack till John Michael Leslie, som posted på vår Facebook-sida) började rapportera att uppdateringen inte längre visades när de använde Inställningar > Allmänt > Programuppdatering för att försöka uppdatera sina enheter.

Apples egna säkerhetsportal listar fortfarande [2023-07-11T15:00:00Z] de senaste uppdateringarna som macOS 13.4.1 (a) och iOS/iPadOS 16.5.1 (a), daterad 2023-07-10, utan anteckningar om huruvida de officiellt har stängts av eller inte.

Men rapporter via sajten MacRumors antyder att uppdateringarna har dragits tillbaka tills vidare.

En föreslagen anledning är att Apples Safari-webbläsare nu identifierar sig i webbförfrågningar med en User-Agent-sträng som inkluderar tillägget (a) i sitt veraionnummer.

Det här är vad vi såg när vi riktade vår uppdaterade Safari-webbläsare på iOS mot en lyssnande TCP-socket (formaterad med radbrytningar för att förbättra läsbarheten):

$ ncat -vv -l 9999 Ncat: Version 7.94 ( https://nmap.org/ncat ) Ncat: Lyssnar på :::9999 Ncat: Lyssnar på 0.0.0.0:9999 Ncat: Anslutning från 10.42.42.1. Ncat: Anslutning från 10.42.42.1:13337. GET / HTTP/1.1 Värd: 10.42.42.42:9999 Uppgradering-Insecure-Requests: 1 Acceptera: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 som Mac OS X) AppleWebKit/605.1.15 (KHTML, som Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Acceptera-kodning: gzip, deflate Anslutning: keep-alive NCAT DEBUG: Stänger fd 5.

Enligt vissa MacRumors-kommentatorer, det Version/ sträng, som består som den gör av de vanliga siffrorna och prickarna tillsammans med lite konstig och oväntad text inom runda parenteser, förvirrar vissa webbplatser.

(Ironiskt nog verkar de webbplatser som vi har sett skulden i detta uppenbarligen version-string-misparsing-blame-spel alla vara tjänster som är mycket vanligare åtkomliga av dedikerade appar än via en webbläsare, men teorin verkar vara att de tydligen kvävs på det 16.5.2 (a) versionsidentifierare om du bestämmer dig för att besöka dem med en uppdaterad version av Safari.)

Vad göra?

Strängt taget är det bara Apple som vet vad som händer här, och det säger inget. (Åtminstone inte officiellt via dess säkerhetsportal (HT201222) eller dess Om snabba säkerhetssvar sida (HT201224.)

Vi föreslår, om du redan har uppdateringen, att du inte tar bort den om den inte verkligen stör din förmåga att använda din telefon med de webbplatser eller appar du behöver för arbetet, eller om inte din egen IT-avdelning uttryckligen säger åt dig att återställa till "icke-(a)"-smaken av macOS, iOS eller iPadOS.

När allt kommer omkring ansågs den här uppdateringen vara lämplig för ett snabbt svar eftersom utnyttjandet som den fixar är ett in-the-wild, webbläsarbaserat fjärrkodexekveringshål (RCE).

Om du behöver eller vill ta bort RSR, kan du göra så här:

  • Om du har en iPhone eller iPad. Gå till Inställningar > Allmänt > Om oss > iOS/iPadOS-version Och välj Ta bort säkerhetssvar.
  • Om du har en Mac. Gå till Systeminställningar > Allmänt > Om oss och klicka på (i) ikonen i slutet av objektet macOS Ventura.

Observera att vi installerade RSR direkt på macOS Ventura 13.4.1 och iOS 16.5.1, och vi har inte haft några problem med att surfa till våra vanliga hemvister via Safari eller Edge. (Kom ihåg att alla webbläsare använder WebKit på Apples mobila enheter!)

Därför har vi inte för avsikt att ta bort uppdateringen, och vi är inte villiga att göra det experimentellt, eftersom vi inte har någon aning om om vi kommer att kunna installera om den igen efteråt.

Kommentarer har föreslagit att patchen helt enkelt inte rapporteras när de försöker från en oparpad enhet, men vi har inte försökt att patcha en tidigare patchad enhet för att se om det ger dig en magisk biljett för att hämta uppdateringen igen.

Enkelt uttryckt:

  • Om du redan har laddat ner macOS 13.4.1 (a) eller iOS/iPadOS 16.5.1 (a), behåll uppdateringen om du inte absolut måste bli av med den, med tanke på att den säkrar dig mot ett nolldagarshål.
  • Om du installerade det och verkligen behöver eller vill ta bort det, se våra instruktioner ovan, men anta att du inte kommer att kunna installera om det senare och därför placerar dig själv i den tredje kategorin nedan.
  • Om du inte har det ännu, titta på det här utrymmet. Vi gissar att (a) patch kommer snabbt att ersättas av en (b) patch, eftersom hela idén med dessa "bokstavsuppdateringar" är att de är avsedda att ge snabba svar. Men det är bara Apple som vet säkert.

Vi lappar våra vanliga råd från igår genom att säga: Försena inte; gör det så snart som Apple och din enhet tillåter dig.

Tidsstämpel:

Mer från Naken säkerhet