Apple видалила свої останні виправлення, усунувши понад 50 уразливостей безпеки, які мають номер CVE, у асортименті підтримуваних продуктів.
Відповідні бюлетені безпеки, номери оновлень і де їх знайти в Інтернеті:
- APPLE-SA-2022-07-20-1: iOS 15.6 і iPadOS 15.6, подробиці за адресою HT213346
- APPLE-SA-2022-07-20-2: macOS Monterey 12.5, подробиці за адресою HT213345
- APPLE-SA-2022-07-20-3: macOS Big Sur 11.6.8, подробиці за адресою HT213344
- APPLE-SA-2022-07-20-4: Оновлення безпеки 2022-005 Catalina, подробиці за адресою HT213343
- APPLE-SA-2022-07-20-5: tvOS 15.6, подробиці за адресою HT213342
- APPLE-SA-2022-07-20-6: дивитися ОС 8.7, подробиці за адресою HT213340
- APPLE-SA-2022-07-20-7: Safari 15.6, подробиці за адресою HT213341
Як зазвичай у Apple, виправлення для браузера Safari включені в оновлення для останньої версії macOS (Monterey), а також в оновлення для ОС iOS і iPad.
Але оновлення для старіших версій macOS не включають Safari, тому окреме оновлення Safari (див. HT213341 вище), тому застосовується до користувачів попередніх версій macOS (і Big Sur, і Catalina все ще офіційно підтримуються), яким потрібно буде завантажити та встановити два оновлення, а не одне.
Почесний нульовий день
До речі, якщо у вас Mac із попередньою версією macOS, не забудьте про друге завантаження для Safari, оскільки це життєво важливо, принаймні, наскільки ми можемо бачити.
Це пов’язано з тим, що одне з пов’язаних із браузером виправлень у цьому раунді оновлень усуває вразливість у WebRTC (веб-комунікації в реальному часі) відомий як CVE-2022-2294...
…і якщо ця цифра звучить знайомо, так і має бути, тому що це та сама помилка, що й була фіксується як нульовий день Google у Chrome (і Microsoft в Edge) близько двох тижнів тому:
Інтригуюче те, що Apple не оголосила жодну з уразливостей цього місяця як «повідомлену про існування в дикій природі» або як «помилки нульового дня», незважаючи на вищезгаданий патч, який Google назвав дірою нульового дня.
Ми не можемо вам сказати, чи це тому, що цю помилку не так легко використати в Safari, чи просто тому, що ніхто не простежив жодної неправильної поведінки Safari, але ми вважаємо її «почесною». нульового дня» вразливість і, як результат, старанно виправляти.
Pwn2Own діра закрита
Apple також, очевидно, виправила помилку, яку виявив німецький дослідник кібербезпеки Манфред Пауль на недавньому конкурсі Pwn2Own у Канаді ще у травні 2022 року.
Останній подкаст 🎧 Слухайте зараз! Firefox і Pwn2Own, Apple і 0-день... і математика, яка перемогла Піфагора.https://t.co/HDrZPQzlAQ pic.twitter.com/DxgdC8VM1j
— Гола безпека (@NakedSecurity) Травень 20, 2022
Манфред Пол використав Firefox із двоетапною помилкою, яка принесла йому 100,000 50,000 доларів (по 50,000 XNUMX доларів за кожну частину), а також потрапив у Safari, отримавши ще XNUMX XNUMX доларів.
Дійсно, Mozilla опублікувала своє виправлення помилок Пола протягом двох днів отримання його звіту на Pwn2Own:
Apple, навпаки, знадобилося два місяці, щоб представити свій патч після Pwn2Own:
WebKit
Вплив: Обробка зловмисно створеного веб-вмісту може призвести до виконання довільного коду
Опис: Проблему запису поза межами було вирішено за допомогою покращеної перевірки введення.
CVE-2022-32792: Манфред Пол (@_manfp) працює з Trend Micro Zero Day Initiative [Pwn2Own]
Пам’ятайте, однак, що відповідальне розкриття є частиною конкурсу Pwn2Own, тобто будь-хто, хто претендує на приз, зобов’язаний не лише передати повну інформацію про свій експлойт постраждалому постачальнику, але й мовчати про вразливість, доки не буде випущено виправлення. .
Іншими словами, яким би похвальним і захоплюючим не був дводенний час доставки виправлень Mozilla, набагато повільніша відповідь Apple все ж прийнятна.
Прямі відеопотоки, які ви, можливо, бачили від Pwn2Own, служили для того, щоб вказати, чи вдалася атака кожного з конкурентів, а не розкрити будь-яку інформацію про те, як насправді працювала атака. Відеомплери, які використовували учасники, були спрямовані спиною до камери, тож ви могли бачити обличчя учасників та суддів, але не те, на що вони друкували або дивилися.
Багатоетапні атаки
Як завжди, численні помилки, виправлені Apple у цих оновленнях, містять уразливості, які теоретично можуть бути об’єднані рішучими зловмисниками.
Помилка в списку з умовою, що «програма з привілеями root може виконувати довільний код із привілеями ядра» спочатку не звучить дуже тривожно.
Зрештою, якщо зловмисник уже має повноваження суперкористувача, він все одно майже контролює ваш комп’ютер.
Але коли ви помічаєте помилку в іншому місці системи, яка вказана з попередженням про це «додаток може отримати root-права», ви можете побачити, як остання вразливість може бути зручною та несанкціонованою сходинкою до першої.
І коли ви також помітите помилку візуалізації зображень, описану як «обробка зловмисно створеного файлу може призвести до виконання довільного коду», ви можете швидко побачити, що:
- Замінована веб-сторінка може містити зображення, яке запускає ненадійний код.
- Цей ненадійний код може імплантувати програму з низькими привілеями.
- Небажана програма може отримати кореневі повноваження для себе.
- Коренева програма тепер може ввести свій власний шахрайський код у ядро.
Іншими словами, принаймні теоретично, просто дивлячись на очевидно невинний веб-сайт…
…може впасти в каскад проблем, як у відомому вислові: «Через брак цвяха загубився черевик; за браком підковки пропав кінь; через брак коня повідомлення було втрачено; через відсутність повідомлення, битва була програна... все через відсутність цвяха підкови».
Що ж робити?
Ось чому, як завжди, ми рекомендуємо вам завчасно встановлювати виправлення; латати часто; залатати все.
Apple, до честі, виправляє все за замовчуванням: ви не можете вибирати, які патчі розгортати, а які залишити «на потім».
Єдиним винятком із цього правила, як ми зазначали вище, є те, що для macOS Big Sur і macOS Catalina ви отримаєте основну частину оновлень операційної системи за одне гігантське завантаження, а потім окремий процес завантаження та оновлення для встановлення остання версія Safari.
Зазвичай:
- На вашому iPhone або iPad: Налаштування > Загальне > Оновлення програмного забезпечення
- На вашому Mac: Apple меню > Про цей Mac > Оновлення програмного забезпечення…
- Apple
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- IPad
- iPhone
- Kaspersky
- макінтош
- MacOS
- шкідливих програм
- Макафі
- Гола безпека
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- VPN
- вразливість
- безпеки веб-сайтів
- зефірнет
![S3 Ep110: У центрі уваги кіберзагрози – говорить експерт [Аудіо + текст] PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.](https://platoblockchain.com/wp-content/uploads/2022/11/tr-readnow-640-360x169.png "S3 Ep110: У центрі уваги кіберзагрози – говорить експерт [Аудіо + текст]")
![S3 Ep116: Остання крапля для LastPass? Чи приречена криптовалюта? [Аудіо + текст]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text-360x220.jpg "S3 Ep116: Остання крапля для LastPass? Чи приречена криптовалюта? [Аудіо + текст]")
![S3 Ep111: Бізнес-ризик неякісного «дефільтра оголених зображень» [Аудіо + текст] PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Бізнес-ризик неякісного «дефільтра наготи» [Аудіо + текст]")
