Apple, yepyeni iOS 16'da bile sıfır gün deliklerini yamalıyor

Apple'ın iPhone 16 ve diğer yükseltilmiş donanım ürünlerinin halka tanıtıldığı son Etkinliği göz önüne alındığında, iOS 14'yı bekliyorduk.

Bu sabah bir şey yaptık Ayarlar > genel > , her ihtimale karşı…

…ama hiçbir şey ortaya çıkmadı.

Ancak bu akşam Birleşik Krallık saatiyle 8:2022'den kısa bir süre önce [09-12-18T31:XNUMXZ], yeni ve güncellenmiş Apple ürünlerinin ilginç bir karışımını duyuran bir dizi güncelleme bildirimi gelen kutumuza düştü.

Bültenleri okumadan önce bile denedik Ayarlar > genel > tekrar ve bu sefer bize yükseltme teklif edildi iOS 15.7bizi doğrudan şuraya götürecek alternatif bir yükseltmeyle: iOS 16:

Bir güncelleme ve yükseltme aynı anda mevcut!

(iOS 16'ya yükseltme yaptık; indirme kapasitesi 3 GB'nin biraz altındaydı, ancak indirildikten sonra süreç beklediğimizden daha hızlı ilerledi ve şu ana kadar her şey gayet iyi çalışıyor gibi görünüyor.)

Yükseltme yapmasanız bile mutlaka güncelleyin

Açık olmak gerekirse, eğer istemiyorsan yükseltmek iOS 16'ya henüz geçmemiş olsanız bile, hala yapmanız gerekenler güncelleştirmeÇünkü iOS 15.7 ve iPadOS 15.7 güncellemeler, adı verilen bir hatanın düzeltmesi de dahil olmak üzere çok sayıda güvenlik yamasını içerir CVE-2022-32917.

Keşfedildiğine inanılan hata "anonim bir araştırmacı", şu şekilde anlatılmaktadır:

[Hata yaması düzeltildi:] Çekirdek Şunlar için kullanılabilir: iPhone 6s ve üzeri, iPad Pro (tüm modeller), iPad Air 2 ve üzeri, iPad 5. nesil ve üzeri, iPad mini 4 ve üzeri ve iPod touch (7. nesil) Etki: An uygulama çekirdek ayrıcalıklarıyla isteğe bağlı kod çalıştırabilir. Apple, bu sorunun aktif olarak kötüye kullanıldığına dair bir raporun farkındadır. Açıklama: Sınır kontrolleri iyileştirilerek sorun giderildi.

Apple'ın en son ne zaman belirttiğimiz gibi acil sıfır gün yamaları Bir çekirdek kodu yürütme hatası ortaya çıktığında, masum görünen uygulamaların bile (belki de incelendiklerinde belirgin bir tehlike işareti oluşturmadıkları için App Store'a giren uygulamalar da dahil) Apple'ın uygulama bazında uygulanan güvenlik kilitlemesinden kurtulabileceği anlamına geliyor…

…ve kamerayı veya kameraları kullanmak, mikrofonu etkinleştirmek, konum verilerini almak, ekran görüntüleri almak, ağ trafiğini şifrelenmeden önce (veya şifresi çözüldükten sonra) gözetlemek gibi sistem işlemlerini gerçekleştirme hakkını ele geçirmek de dahil olmak üzere tüm cihazı ele geçirme potansiyeli ), diğer uygulamalara ait dosyalara erişim ve çok daha fazlası.

Eğer gerçekten de bu “sorun” (veya güvenlik deliği (bunu adlandırmayı tercih edebileceğiniz gibi) vahşi doğada aktif olarak istismar edildiğinden, şüpheli olmayan kullanıcıların güvenilir bir kaynak olduğunu düşündükleri uygulamalardan, bu uygulamalar etkinleştirilecek kod içermesine rağmen zaten yükledikleri uygulamalar olduğu sonucunu çıkarmak mantıklıdır. ve bu güvenlik açığını kötüye kullanın.

İlginçtir ki, macOS 11 (Big Sur) kendi güncellemesini alıyor MacOS 11.7adı verilen ikinci bir sıfır gün deliğini yamalayan CVE-2022-32894, yukarıda alıntılanan iOS sıfır gün bülteniyle tamamen aynı kelimelerle anlatılmıştır.

Ancak CVE-2022-32894 yalnızca Big Sur hatası olarak listeleniyor ve daha yeni işletim sistemi sürümleri macOS 12 (Monterey), iOS 15, iPadOS 15 ve iOS 16'dan etkilenmediği görülüyor.

Ancak Kötü Adamlar bundan nasıl yararlanacaklarını bulduktan sonra giderilen bir güvenlik açığına, güvenlik açığı denildiğini unutmayın. sıfırıncı gün çünkü en hevesli kullanıcının veya sistem yöneticisinin bile proaktif olarak yama yapabileceği sıfır gün vardı.

tam hikaye

Bu bülten turunda açıklanan güncellemeler aşağıdakileri içermektedir.

iOS 16'nın altta görünmesi için bunları e-postayla geldikleri sıraya göre (ters sayısal sıra) aşağıda listeledik:

• ELMA-SA-2022-09-12-5: safari 16. Bu güncelleme macOS Big Sur (sürüm 11) ve Monterey (sürüm 12) için geçerlidir. MacOS 10 (Catalina) için herhangi bir Safari güncellemesi listelenmiyor. Düzeltilen hatalardan ikisi uzaktan kod yürütülmesine neden olabilir; bu, bubi tuzaklı bir web sitesinin bilgisayarınıza kötü amaçlı yazılım yerleştirebileceği anlamına gelir (bu, daha sonra CVE-2022-32917'yi çekirdek düzeyinde devralmak için kötüye kullanabilir), ancak bu hataların hiçbiri listelenmemiştir. sıfır gün olarak. (Görmek HT213442.)
• ELMA-SA-2022-09-12-4: macOS Monterey 12.6 Bu güncelleme, CVE-2022-32917 için bir düzeltme içerdiğinden acil olarak değerlendirilebilir. (Görmek HT213444.)
• ELMA-SA-2022-09-12-3: macOS Büyük Sur 11.7 CVE-2022-32917 sıfır gün de dahil olmak üzere macOS Monterey için yukarıda listelenenlere benzer bir yama dilimi. Bu Big Sur güncellemesi aynı zamanda yukarıda açıklanan ikinci çekirdek sıfır günü olan CVE-2022-32894'ü de yamalıyor. (Görmek HT213443.)
• ELMA-SA-2022-09-12-2: iOS 15.7 ve iPadOS 15.7 Makalenin başında da belirtildiği gibi bu güncellemeler CVE-2022-32917 yamasını içermektedir. (Görmek HT213445.)
• ELMA-SA-2022-09-12-1: iOS 16 Büyük olan! Bu, bir dizi yeni özelliğin yanı sıra macOS için ayrı olarak sunulan Safari yamalarını (bu listenin başına bakın) ve CVE-2022-32917 için bir düzeltmeyi içerir. İlginç bir şekilde, iOS 16 yükseltme bülteni şunu tavsiye ediyor: “[a]ek CVE girişleri yakında eklenecek”, ancak CVE-2022-23917'yi sıfır gün olarak göstermez. Bunun nedeni, iOS 16'nın henüz resmi olarak "vahşi" olarak kabul edilmemesi mi, yoksa bilinen istismarın henüz yama yapılmamış iOS 16 Beta'da çalışmaması mı, bunu size söyleyemeyiz. Ancak hata gerçekten de iOS 15'ten iOS 16 kod tabanına taşınmış gibi görünüyor. (Görmek HT213446.)

Ne yapalım?

Her zamanki gibi, Erken Yama Yapın, Sık Sık Yama Yapın.

iOS 15'ten tam gelişmiş bir yükseltme iOS 16.0kurulum sonrasında kendi kendine rapor verdiği için iOS 15'teki bilinen hataları yamalayacaktır. (Henüz iPadOS 16 için bir duyuru görmedik.)

Henüz yükseltmeye hazır değilseniz, yükseltme yaptığınızdan emin olun. iOS 15.7sıfır günlük çekirdek deliği nedeniyle.

Henüz iOS 16'dan bahsedilmeyen iPad'lerde iPadOS 15.7 hemen şimdi - kendinizi bilinen bir yararlanılabilir çekirdek kusuruna gereksiz yere maruz bırakacağınız göz önüne alındığında, iPadOS 16'nın çıkmasını beklemeyin.

Mac'lerde Monterey ve Big Sur, Safari'ye yama yapmak için çift güncelleme alıyor. safari 16ve işletim sisteminin kendisi için bir tane, sizi şuraya götürecektir: MacOS 11.7 (Büyük Sur) veya MacOS 12.6 (Monterey'e).

Bu sefer iOS 12 için bir yama yok ve macOS 10'dan (Catalina) bahsedilmiyor; Catalina'nın artık desteklenip desteklenmediğini veya bu hatalardan herhangi birini içeremeyecek kadar eski olup olmadığını size söyleyemeyiz.

Herhangi bir CVE güncellemesi için bu alanı izleyin!

---