Bu sabah uyandığımızda, siber güvenlik bilgi beslememiz, Apple'ın Mac'lerinizi "savunmasız" bırakabilecek "korkunç bir hata", "kritik bir kusur" ve "Aşil ' macOS'un topuğu”.
Hava durumunu kontrol etmek için dışarı bakmadan önce genellikle çeşitli güvenlik bülteni posta listelerimizi kontrol ettiğimiz düşünülürse, öncelikle Apple'ın bir gecede gizlice yeni bir danışma yayınlayıp yayınlamadığını görmek için…
...henüz görmediğimiz bir hata raporunun çok sayıda yazılması karşısında gerçekten paniğe kapılmasak bile şaşırdık.
Gerçekten de, haberler bizi Apple'ın bir önceki güncellemesinden sadece bir hafta sonra başka bir güncelleme yayınladığını varsaymaya davet ediyor gibiydi.her şey için güncelleme", bir olaydan iki haftadan kısa bir süre sonra iOS 16 için gizemli güncelleme, görünüşe göre bubi tuzaklı web sayfaları aracılığıyla kötü amaçlı yazılım yerleştirmek için kullanılan bir sıfır gün saldırısı olduğu ortaya çıktı, ancak Apple o sırada bundan bahsetmeyi ihmal etti:
Bu sabahki "haberler", Apple'ın yalnızca başka bir güncelleme yayınlamakla kalmayıp, aynı zamanda bir tavsiye e-postasında duyurmayarak ve hatta şirketin kendi başına listelemeyerek sessizce yayınladığını ima ediyor gibiydi. HT201222 güvenlik portalı sayfası.
(Bu bağlantıyı saklayın HT201222 bağlantısı Apple kullanıcısıysanız kullanışlıdır - yama karışıklığı ortaya çıktığında yararlı bir başlangıç noktasıdır.)
Bu bir bug ama yepyeni değil
Ancak iyi haber şu ki, eğer önerimizi takip etti Apple aygıtlarınızın güncellenip güncellenmediğini kontrol etmek için bir hafta öncesinden (kendiliğinden yapmalarını beklemiş olsanız bile), sizi bu "Aşil" hatasından korumak için ihtiyaç duyabileceğiniz tüm düzeltmelere zaten sahipsiniz, özellikle şu şekilde bilinir: CVE-2022-42821.
Bu yeni bir hata değil, yalnızca Apple'ın geliştirdiği bir hata hakkında bazı yeni bilgiler. geçen hafta sabitlendi.
Açık olmak gerekirse, Apple'ın güvenlik bültenleri doğru söylüyorsa, bu hata Apple'ın hiçbir mobil işletim sistemi için geçerli değildir ve macOS 13 Ventura sürümüne ya hiç uygulanmamış ya da zaten düzeltilmiştir.
Başka bir deyişle, açıklanan hata yalnızca macOS 11 Big Sur ve macOS 12 Monterey kullanıcıları için geçerliydi, hiçbir zaman sıfır gün olmadı ve zaten yamalandı.
Tüm bu yaygaranın nedeni, yamanın birkaç gündür kullanıma sunulmasına rağmen, Microsoft tarafından oldukça dramatik bir şekilde başlıklı bir makalenin dün yayınlanması gibi görünüyor. Gatekeeper'ın Aşil topuğu: Bir macOS güvenlik açığını ortaya çıkarmak.
Apple, kuşkusuz, bu hatanın yalnızca üstünkörü bir özetini kendi başına vermişti. önerileri bir hafta önce:
Etkisi: Bir uygulama, Gatekeeper kontrollerini atlayabilir Açıklama: Kontroller iyileştirilerek bir mantık sorunu giderildi. CVE-2022-42821: Microsoft'tan Jonathan Bar Veya
Ne yapacağınızı öğrendikten sonra bu hatayı kullanmak çok zor değil ve Microsoft'un raporu neye ihtiyaç duyulduğunu oldukça açık bir şekilde açıklıyor.
Ancak bazı manşetlere rağmen, Mac'inizi tam olarak "savunmasız" bırakmıyor.
Basitçe söylemek gerekirse, normalde güvenilir bir kaynaktan olmadığına dair bir pop-up uyarısı veren indirilmiş bir uygulamanın Apple tarafından doğru şekilde işaretlenmeyeceği anlamına gelir. Bekçi sistem.
Gatekeeper, uygulamayı bir indirme olarak kaydetmeyi başaramaz, böylece çalıştırıldığında olağan uyarıyı atlatır.
(Mac'inizdeki herhangi bir aktif kötü amaçlı yazılımdan koruma ve tehdit tabanlı davranış izleme yazılımı, ilk etapta indirdiğinizde herhangi bir güvenlik duvarı ayarı veya web filtreleme güvenlik yazılımı gibi yine devreye girer.)
Bu bir hata, ancak gerçekten "kritik" değil
Bir medya raporunun öne sürdüğü gibi, özellikle Microsoft'un Aralık 2022 için Salı Yaması güncellemelerinin bir hatayı düzelttiğini düşündüğünüzde, bu tam olarak "kritik bir kusur" da değil. çok benzer bir böcek türü bu yalnızca "orta" olarak derecelendirildi:
Gerçekten de Microsoft'un benzer güvenlik açığı aslında bir sıfır gün açığıydı, yani yama çıkmadan önce siber güvenlik topluluğu dışında biliniyordu ve kötüye kullanılıyordu.
Microsoft'un hatasını şu şekilde tanımladık:
CVE-2022-44698: Windows SmartScreen Güvenlik Özelliğinin Güvenlik Açıklarını Atlama Bu hatanın yaygın olarak açıklandığı da bilinmektedir. Normalde bir güvenlik uyarısına neden olacak kötü amaçlı içeriğe sahip bir saldırgan, bu bildirimi atlayabilir ve böylece iyi bilgilendirilmiş kullanıcılara bile herhangi bir uyarı vermeden virüs bulaştırabilir.
Basitçe söylemek gerekirse, Windows güvenlik baypasına Microsoft'un sözde bir hatası neden oldu. Web'in İşareti (MOTW) sistemi, indirilen dosyalara güvenilmeyen bir kaynaktan geldiklerini belirtmek için genişletilmiş öznitelikler eklemesi gerekiyordu.
Apple'ın güvenlik atlaması, benzer ama farklı bir başarısızlıktı Bekçi güvenilmeyen bir kaynaktan geldiklerini belirtmek için indirilen dosyalara genişletilmiş özellikler eklemesi gereken sistem.
Ne yapalım?
Gatekeeper kusurunu sorumlu bir şekilde Apple'a ifşa eden ve yeni yayınlanan rapor, hatayı veya Mac'inizi yerleştirdiği durumu açıklamak için "kritik" veya "savunmasız" sözcüklerini kullanmadı…
… hatanın adlandırılmasına rağmen Aşil ve bir başlık olarak Aşil topuğu muhtemelen fazla mecazi bir sıçramaydı.
Sonuçta, Antik Yunan efsanesinde Aşil, annesi onu bebekken büyülü Styx Nehri'ne daldırdığı için savaşta yaralanmaya neredeyse tamamen bağışıktı.
Ancak bu süreçte onun ayağını tutması gerekiyordu ve onu, Paris tarafından nihayetinde Aşil'i öldürmek için sömürülen tek bir savunmasız noktayla baş başa bıraktı - kesinlikle tehlikeli bir savunmasızlık ve kritik bir açık (aynı zamanda bir sıfır gün kusuru olduğu düşünülürse). Paris nereye nişan alacağını önceden biliyor gibi görünüyor).
Neyse ki, her iki durumda da - Microsoft'un kendi sıfır gün hatası ve Apple'ın Microsoft tarafından bulunan hatası - güvenlik atlama kusurları artık düzeltildi
Bu nedenle, her iki güvenlik açığından kurtulmak (Aşil'i diğer topuğunu tutarken etkili bir şekilde Styx Nehri'ne geri daldırmak, muhtemelen annesinin ilk başta yapması gereken şeydi), son güncellemeleri aldığınızdan emin olmak kadar kolaydır.
- Mac'lerdeKullanın: Elma menüsü > Bu Mac hakkında > Yazılım güncellemesi…
- Windows'ta: kullan Ayarlar > Windows Update > güncelleştirmeleri denetleyin
önceden biliyorsun
ne söyleyeceğiz
Hangisi, “Gecikme,
Bugün yama yapın.”
- Aşil
- Apple
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- CVE-2022-42821
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Bekçi
- Kaspersky
- macos
- kötü amaçlı yazılım
- Mcafee
- Microsoft
- MOTW
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- güvenlik açığı
- web sitesi güvenliği
- zefirnet
![S3 Ep98: LastPass efsanesi – şifre yöneticilerini kullanmayı bırakmalı mıyız? [Ses + Metin] PlatoBlockchain Veri Zekası. Dikey Arama. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/bn-1200-300x157.png "S3 Ep98: LastPass efsanesi – parola yöneticilerini kullanmayı bırakmalı mıyız? [Ses + Metin]")
