ด่วน! Apple หลุดการอัพเดท Zero-day สำหรับ iPhone และ iPad รุ่นเก่า

เราไม่ได้คาดหวังสิ่งนี้!

iPhone 6+ ที่เราชื่นชอบมาก ตอนนี้อายุเกือบแปดขวบแล้ว แต่อยู่ในสภาพเหมือนใหม่จนถึง UDI ล่าสุด (เหตุการณ์ไม่ตั้งใจลงจากรถหรือที่เรียกว่าจักรยานปรางค์ซึ่งทุบหน้าจอแต่ปล่อยให้อุปกรณ์ทำงานได้ดีอย่างอื่น) ไม่ได้รับการอัปเดตความปลอดภัยใด ๆ จาก Apple มาเกือบหนึ่งปีแล้ว

การอัปเดตล่าสุดที่เราได้รับคือ กลับมาเมื่อ 2021-09-23เมื่อเราอัปเดตเป็น iOS 12.5.5

ทุกการอัปเดตที่ตามมาสำหรับ iOS และ iPadOS 15 ได้ตอกย้ำสมมติฐานของเราอย่างเข้าใจแล้วว่า Apple เลิกรองรับ iOS 12 อีกต่อไปแล้ว ดังนั้นเราจึงผลักไส iPhone เครื่องเก่าให้ทำงานเบื้องหลัง เป็นเพียงอุปกรณ์ฉุกเฉินสำหรับแผนที่หรือการโทรขณะอยู่บนท้องถนน

(เราคิดว่าการชนอีกครั้งไม่น่าจะทำให้หน้าจอเสียหายอีกต่อไป ดังนั้นจึงดูเหมือนเป็นการประนีประนอมที่มีประโยชน์)

แต่เราเพิ่งสังเกตว่า Apple ได้ตัดสินใจอัปเดต iOS 12 อีกครั้งหลังจากทั้งหมด

การอัพเดทใหม่นี้ใช้กับรุ่นต่อไปนี้: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch รุ่นที่ 6 (ก่อนที่ iOS 13.1 และ iPadOS 13.1 จะออก iPhone และ iPad จะใช้ระบบปฏิบัติการเดียวกัน ซึ่งเรียกว่า iOS สำหรับอุปกรณ์ทั้งสองเครื่อง)

เราไม่ได้รับอีเมลคำแนะนำด้านความปลอดภัยจาก Apple แต่มีผู้อ่าน Naked Security ที่รู้ว่าเรายังมี iPhone 6+ รุ่นเก่าอยู่แจ้งให้เราทราบ กระดานข่าวความปลอดภัยของ Apple HT213428. (ขอบคุณ!)

พูดง่ายๆ ก็คือ Apple ได้เผยแพร่แพตช์สำหรับ CVE-2022-32893ซึ่งเป็นหนึ่งในไฟล์ บั๊กซีโร่เดย์ XNUMX ตัว ที่ได้รับแพตช์ฉุกเฉินบนแพลตฟอร์มอื่นๆ ของ Apple เมื่อต้นเดือนสิงหาคม 2022:

การฝังมัลแวร์

ดังที่คุณจะเห็นในบทความด้านบน มีข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลของ WebKit คือ CVE-2022-32893 โดยที่ผู้เจลเบรก คนขายสปายแวร์ หรืออาชญากรไซเบอร์ที่หลอกลวงอาจหลอกล่อคุณให้เข้าสู่เว็บไซต์ที่ติดกับดักและ ฝังมัลแวร์บนอุปกรณ์ของคุณ แม้ว่าคุณจะเหลือบมองหน้าหรือเอกสารที่ดูไร้เดียงสาก็ตาม

จากนั้นมีจุดบกพร่องที่สองในเคอร์เนล CVE-2022-32894 โดยกล่าวว่ามัลแวร์สามารถขยายหนวดของมันนอกเหนือจากแอปที่มันเพิ่งถูกบุกรุก (เช่นเบราว์เซอร์หรือโปรแกรมดูเอกสาร) และควบคุมอวัยวะภายในของปฏิบัติการ ตัวระบบเอง ทำให้มัลแวร์สามารถสอดแนม แก้ไข หรือแม้แต่ติดตั้งแอพอื่น ๆ ได้ โดยข้ามการควบคุมความปลอดภัยที่เข้มงวดและฉาวโฉ่ของ Apple

นี่เป็นข่าวดี: iOS 12 ไม่มีความเสี่ยงต่อ CVE-2022-32894 . ระดับเคอร์เนลระดับเคอร์เนลซึ่งเกือบจะหลีกเลี่ยงความเสี่ยงที่ระบบปฏิบัติการจะประนีประนอมทั้งหมดได้อย่างแน่นอน

แต่นี่คือข่าวร้าย: iOS 12 มีความเสี่ยงต่อข้อบกพร่องของ WebKit CVE-2022-32893เพื่อให้แต่ละแอพในโทรศัพท์ของคุณมีความเสี่ยงที่จะถูกประนีประนอมอย่างแน่นอน

เราเดาว่า Apple จะต้องเจอผู้ใช้โทรศัพท์รุ่นเก่าที่มีความเสี่ยงสูง (หรือมีความเสี่ยงสูง หรือทั้งสองอย่าง) ซึ่งถูกบุกรุกในลักษณะนี้ และตัดสินใจที่จะผลักดันการป้องกันสำหรับทุกคนเพื่อเป็นการป้องกันไว้ก่อนเป็นพิเศษ

อันตรายของ WebKit

โปรดจำไว้ว่ามีข้อบกพร่องของ WebKit อยู่ที่เลเยอร์ซอฟต์แวร์ด้านล่าง Safari ดังนั้นเบราว์เซอร์ Safari ของ Apple จึงไม่ใช่แอปเดียวที่มีความเสี่ยงจากช่องโหว่นี้

เบราว์เซอร์ทั้งหมดบน iOS แม้แต่ Firefox, Edge, Chrome และอื่นๆ ใช้ WebKit (นั่นเป็นข้อกำหนดของ Apple หากคุณต้องการให้แอปของคุณเข้าสู่ App Store)

และแอพใดๆ ที่แสดงเนื้อหาเว็บเพื่อวัตถุประสงค์อื่นนอกเหนือจากการท่องเว็บทั่วไป เช่น ในหน้าวิธีใช้ ของมัน เกี่ยวกับเรา หน้าจอหรือแม้กระทั่งใน "มินิเบราว์เซอร์" ในตัวก็มีความเสี่ยงเช่นกันเพราะจะใช้ WebKit ใต้หน้าปก

กล่าวอีกนัยหนึ่งเพียงแค่ "หลีกเลี่ยง Safari" และการใช้เบราว์เซอร์ของบุคคลที่สามไม่ใช่วิธีแก้ปัญหาที่เหมาะสมในกรณีนี้

จะทำอย่างไร?

ตอนนี้เราทราบแล้วว่าการไม่มีการอัปเดตสำหรับ iOS 12 เมื่อแพตช์ฉุกเฉินล่าสุดออกมาสำหรับ iPhone ที่ใหม่กว่านั้นไม่ได้ขึ้นอยู่กับความจริงที่ว่า iOS ปลอดภัยอยู่แล้ว

มันเป็นเพียงความจริงที่ว่าการอัพเดทยังไม่พร้อมใช้งาน

เนื่องจากตอนนี้เรารู้แล้วว่า iOS 12 is ตกอยู่ในความเสี่ยง และการเอารัดเอาเปรียบกับ CVE-2022-32893 นั้นกำลังถูกใช้ในชีวิตจริง และมีแพตช์ให้ใช้งาน...

…จากนั้นก็เป็นเรื่องเร่งด่วนของ แพทช์ก่อน/แพทช์บ่อย!

ไปที่ การตั้งค่า > General > การปรับปรุงซอฟต์แวร์และตรวจสอบว่าคุณมี iOS 12.5.6.

หากคุณยังไม่ได้รับการอัปเดตโดยอัตโนมัติ ให้แตะ ดาวน์โหลดและติดตั้ง เพื่อเริ่มกระบวนการทันที:

---