Apple, desteklenen ürün yelpazesindeki 50'den fazla CVE numaralı güvenlik açığını düzelterek en son yamalarını gözden çıkardı.
İlgili güvenlik bültenleri, güncelleme numaraları ve çevrimiçi olarak nerede bulunabilecekleri aşağıdaki gibidir:
- ELMA-SA-2022-07-20-1: iOS 15.6 ve iPadOS 15.6, ayrıntılar HT213346
- ELMA-SA-2022-07-20-2: macOSMonterey 12.5, ayrıntılar HT213345
- ELMA-SA-2022-07-20-3: macOS Büyük Sur 11.6.8, ayrıntılar HT213344
- ELMA-SA-2022-07-20-4: Güvenlik Güncellemesi 2022-005 Catalina, ayrıntılar HT213343
- ELMA-SA-2022-07-20-5: tvOS 15.6, ayrıntılar HT213342
- ELMA-SA-2022-07-20-6: saat OS 8.7, ayrıntılar HT213340
- ELMA-SA-2022-07-20-7: Safari 15.6 ayrıntılar HT213341
Apple'da her zaman olduğu gibi, Safari tarayıcı yamaları, en son macOS (Monterey) güncellemelerinin yanı sıra iOS ve iPad OS güncellemelerinde bir araya getirilmiştir.
Ancak macOS'in eski sürümlerine yönelik güncellemeler Safari'yi içermez, bu nedenle bağımsız Safari güncellemesi (bkz. HT213341 yukarıdaki) bu nedenle önceki macOS sürümlerinin (hem Big Sur hem de Catalina hala resmi olarak desteklenmektedir) kullanıcıları için geçerlidir ve yalnızca bir değil iki güncelleme indirip yüklemesi gerekir.
Onursal bir sıfır gün
Bu arada, macOS'in önceki bir sürümüne sahip bir Mac'iniz varsa, Safari için ikinci indirmeyi unutmayın, çünkü hayati derecede önemli, en azından görebildiğimiz kadarıyla.
Bunun nedeni, bu güncelleme turundaki tarayıcıyla ilgili yamalardan birinin WebRTC'deki bir güvenlik açığıyla ilgilenmesidir (web gerçek zamanlı iletişim) olarak bilinir CVE-2022-2294...
…ve eğer bu numara tanıdık geliyorsa, öyle olmalı, çünkü aynı hata sıfır gün olarak sabit Google tarafından Chrome'da (ve Microsoft tarafından Edge'de) yaklaşık iki hafta önce:
Şaşırtıcı bir şekilde, Apple, Google tarafından sıfır gün açığı olarak adlandırılan yukarıda bahsedilen yamaya rağmen, bu ayki güvenlik açıklarından hiçbirini "çıplak olduğu bildirildi" veya "sıfır gün hataları" olarak ilan etmedi.
Bunun nedeni, hatanın Safari'de istismar edilmesinin kolay olmaması ya da hiç kimsenin Safari'ye özgü herhangi bir yanlış davranışı bu özel kusura kadar takip etmemiş olması olabilir, size söyleyemeyiz, ancak bunu "fahri bir olay" olarak değerlendiriyoruz. sıfır gün” güvenlik açığı ve sonuç olarak gayretle yama.
Pwn2Own deliği kapalı
Apple, görünüşe göre, Alman siber güvenlik araştırmacısı Manfred Paul tarafından Mayıs 2'de Kanada'daki son Pwn2022Own yarışmasında bulunan hatayı düzeltti.
En son podcast 🎧 Şimdi dinleyin! Firefox & Pwn2Own, Apple ve 0 günlük… ve Pisagor'u mağlup eden matematik.https://t.co/HDrZPQzlAQ pic.twitter.com/DxgdC8VM1j
— Çıplak Güvenlik (@NakedSecurity) Mayıs 20, 2022
Manfred Paul, Firefox'u kendisine 100,000 $ (her bölüm için 50,000 $) kazandıran iki aşamalı bir hatayla kullandı ve ayrıca 50,000 $' lık bir ödül için Safari'ye girdi.
Gerçekten de Mozilla, Paul'ün hataları için düzeltmesini yayınladı iki gün içinde raporunu Pwn2Own'da almak için:
Buna karşılık Apple'ın Pwn2Own sonrası yamasını teslim etmesi iki ay sürdü:
WebKit
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulaması iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2022-32792: Trend Micro Zero Day Initiative [Pwn2Own] ile çalışan Manfred Paul (@_manfp)
Bununla birlikte, sorumlu açıklamanın Pwn2Own yarışmasının bir parçası olduğunu unutmayın; bu, bir ödül talep eden herkesin yalnızca istismarlarının tüm ayrıntılarını etkilenen satıcıya teslim etmesi değil, aynı zamanda yama çıkana kadar güvenlik açığı hakkında sessiz kalması gerektiği anlamına gelir. .
Diğer bir deyişle, Mozilla'nın iki günlük yama teslim süresi ne kadar övgüye değer ve heyecan verici olsa da, Apple'ın çok daha yavaş tepki vermesi yine de kabul edilebilir.
Pwn2Own'dan görmüş olabileceğiniz canlı video akışları, saldırının gerçekte nasıl çalıştığı hakkında herhangi bir bilgi vermek yerine, her bir rakibin saldırısının başarılı olup olmadığını göstermeye hizmet etti. Yarışmacılar tarafından kullanılan video görüntülerinin arkaları kameraya dönüktü, böylece yarışmacıların ve hakemlerin yüzlerini görebiliyordunuz ama ne yazdıklarını ya da baktıklarını göremiyordunuz.
Çok aşamalı saldırılar
Her zamanki gibi, Apple tarafından bu güncellemelerde yamalanan sayısız hata, teorik olarak kararlı saldırganlar tarafından zincirlenebilecek güvenlik açıklarını içeriyor.
Şu koşulla listelenen bir hata: "kök ayrıcalıklarına sahip bir uygulama, çekirdek ayrıcalıklarıyla rasgele kod çalıştırabilir" ilk başta çok endişe verici gelmiyor.
Ne de olsa, bir saldırganın zaten kök yetkileri varsa, yine de bilgisayarınızın kontrolü büyük ölçüde onlardadır.
Ancak, sistemde şu uyarıyla listelenen başka bir yerde bir hata fark ettiğinizde "bir uygulama kök ayrıcalıkları kazanabilir", ikinci güvenlik açığının, birincisi için nasıl uygun ve yetkisiz bir basamak olabileceğini görebilirsiniz.
Ayrıca şu şekilde tanımlanan bir görüntü oluşturma hatası fark ettiğinizde "Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi, rastgele kod yürütülmesine neden olabilir", hızlı bir şekilde şunu görebilirsiniz:
- Bubi tuzağına yakalanmış bir web sayfası, güvenilmeyen kodu başlatır.
- Bu güvenilmeyen kod düşük ayrıcalıklı bir uygulama yerleştirmek.
- İstenmeyen uygulama kendisi için kök güçler elde etmek.
- Şimdi kök uygulama olabilir çekirdeğe kendi hileli kodunu enjekte eder.
Başka bir deyişle, en azından teorik olarak, görünüşte masum bir web sitesine bakmak…
…sizi bir dizi belaya sürükleyebilir, tıpkı ünlü sözde olduğu gibi, “Çivi olmadığı için ayakkabı kayboldu; bir ayakkabı için at kayboldu; bir at için, mesaj kayboldu; bir mesaj yok diye, savaş kaybedildi... hepsi bir at nalı çivisinin yokluğu için."
Ne yapalım?
Bu nedenle, her zaman olduğu gibi erken yama yapmanızı öneririz; sık sık yama; her şeyi yama.
Apple, kredisine göre, her şeyi varsayılan olarak yamalamayı yapar: hangi yamaların dağıtılacağını ve hangilerinin “sonraya” bırakılacağını seçemezsiniz.
Bu kuralın tek istisnası, yukarıda belirttiğimiz gibi, macOS Big Sur ve macOS Catalina için, işletim sistemi güncellemelerinin büyük bir kısmını tek bir dev indirme işleminde alacaksınız, ardından bunu yüklemek için ayrı bir indirme ve güncelleme işlemi alacaksınız. Safari'nin en son sürümü.
Her zaman oldugu gibi:
- iPhone veya iPad'inizde: Ayarlar > genel >
- Mac'inde: Elma menüsü > Bu Mac hakkında > Yazılım güncellemesi…
- Apple
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- iPad
- iPhone
- Kaspersky
- mac
- macos
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- güvenlik açığı
- web sitesi güvenliği
- zefirnet
![S3 Ep110: Siber tehditlere bakış – bir uzman konuşuyor [Ses + Metin] PlatoBlockchain Veri Zekası. Dikey Arama. Ai.](https://platoblockchain.com/wp-content/uploads/2022/11/tr-readnow-640-360x169.png "S3 Ep110: Siber tehditlere genel bakış – bir uzman konuşuyor [Ses + Metin]")
![S3 Ep116: LastPass için bardağı taşıran son damla mı? Kripto mahkum mu? [Ses + Metin]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text-360x220.jpg "S3 Ep116: LastPass için bardağı taşıran son damla mı? Kripto mahkum mu? [Ses + Metin]")
![S3 Ep111: Kalitesiz bir "çıplaklık filtresinin" iş riski [Ses + Metin] PlatoBlockchain Veri Zekası. Dikey Arama. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Kalitesiz bir \"çıplaklık filtresinin\" iş riski [Ses + Metin]")
