Оновлення історії оновлень Apple за нульовий день – користувачі iPhone та iPad читають це!

Постійні читачі знатимуть дві речі про наше ставлення до патчів безпеки Apple:

• Ми хочемо отримати їх якнайшвидше. Незалежно від того, чи це повне оновлення версії, яке також включає купу виправлень безпеки, чи точковий випуск (той, де крайній лівий номер версії не змінюється) з основною метою виправлення помилок, а не додавання нових функцій, ми воліємо помилитися стороні застосування відомих виправлень безпеки, ніж залишати наші пристрої з дірками, про які зараз знають зловмисники, навіть якщо вони ще не знають, як ними скористатися.
• Тим не менш, ми дуже часто знаходимо бюлетені Apple заплутаними. Наприклад, ви ніколи не знаєте, що стоїте, якщо ви застрягли на версії, яка цього разу не оновлена.

Останні бюлетені безпеки Apple, які вийшли на початку цього тижня, здається, є прикладом того, як іноді здається, що компанія збільшує плутанину, кажучи занадто мало... що не завжди є щасливою альтернативою дізнаватися занадто багато:

Виникаюча плутанина

На основі запитів і коментарів, які ми отримали від читачів за останні кілька днів, виникла така плутанина:

• Чому в одному бюлетені з безпеки описано оновлення iOS 16.1 і iPadOS 16? Ми знаємо, що iPadOS 16 було відкладено, тож чи означало це нещодавнє оновлення, що iPadOS тепер отримувала виправлення лише до того самого рівня безпеки, що й iOS 16, яка вийшла більше місяця тому, тоді як iOS просунулася до 16.1, залишаючи iPadOS більше, ніж п’ять тижнів з точки зору кібербезпеки?
• Чому iPadOS 16 зрештою назвала себе версією 16.1? (Дякую Стефаану з Бельгії за те, що він зробив знімки екрана процесу оновлення iPad і надіслав їх.) Після оновлення About на екрані, очевидно, написано iPadOS 16, як і в бюлетені безпеки, тоді як iPadOS Version на екрані чітко вказано 16.1. Схоже, що iPhone та iPad тепер не тільки підтримують «сімейство версій, відоме як 16», але й мають найновіші виправлення безпеки, тож чому б просто не називати їх обидва версією 16.1 всюди для ясності, зокрема в бюлетені безпеки. і на About екран?
• Куди поділася macOS 10 Catalina? Традиційно Apple припиняє підтримку macOS версії X-3, коли виходить версія X, але це справжнє пояснення того, чому macOS 11 Big Sur і macOS 12 Monterey (версії X-2 і X-1 відповідно) отримали оновлення, а Catalina — ні. t?
• Що сталося з iOS/iPadOS 15.7.1? Коли iOS 16 вийшло у вересні 2022 року сімейство попередніх версій також отримало критичні оновлення, перейшовши до версії 15.7. Це включало критичне виправлення для закриття a дірка нульового дня на рівні ядра під активною експлуатацією, що часто перекладається як «хтось там підкрадає шпигунське програмне забезпечення на iPhone, люди». Отже, враховуючи, що iOS 16.1 включено ще один виправлення ядра нульового дня, можливо, закриває шлях до використання ще більшою кількістю шпигунського програмного забезпечення, де було відповідне виправлення для сімейства iOS/iPadOS 15, яке, за аналогією, можна припустити, буде 15.7.1?

Як ми сказали в вчорашній подкаст, зіткнувшись із четвертим запитанням вище від стурбованого читача, наша коротка відповідь була простою: «КАЧКА: Не знаю./ДУГ: Чисто, як бруд».

Іноді помилки безпеки в операційній системі версії X просто не стосуються версії X-1, наприклад тому, що помилки існують у коді, який було додано або піддано небезпеці лише в нових версіях.

Але ми також бачили, як Apple не випустила оновлення для попередніх версій з двох інших причин: [a] тому що оновлення справді потрібне, але виявилося, що це надто складно підготувати та вчасно протестувати, або [b] тому що попередня версія тепер вважалася непідтримуваною, і не збиралася отримувати оновлення, незалежно від того, потрібне воно чи ні.

І оскільки в бюлетенях безпеки Apple майже завжди повідомляють лише про доступні зараз виправлення, відсутні оновлення регулярно залишаються непоясненою (і нез’ясовною) загадкою.

Вибух бюлетенів

Що ж, сьогодні вранці ми отримали 15 електронних листів із бюлетенями безпеки від Apple, у більшості з яких перелічено багато помилок із CVE-нумерацією та проблем безпеки, про які повідомлялося в бюлетенях, які ми вже бачили на початку тижня.

Жоден із них прямо не прояснив перші три запитання вище, хоча тепер ми припускаємо, що причиною того, що Apple посилалася на «iPadOS 16», а також на «iPadOS 16.1», була, ймовірно, помилкова спроба передати інформацію про те, що iPadOS тепер затримується. модернізація до версії сімейства 16, а також отримати an оновлення еквівалент у виправленнях безпеки для нової iOS 16.1.

Але найперший бюлетень в останньому залпі від Apple вирішив останнє питання, перераховане вище, оголосивши про iOS/iPadOS 15.7.1, який, як виявилося, є критичне виправлення:

APPLE-SA-2022-10-27-1: iOS 15.7.1 і iPadOS 15.7.1

iOS 15.7.1 і iPadOS 15.7.1 вирішують такі проблеми.
Інформація про вміст безпеки також доступна за адресою
https://support.apple.com/HT213490.

[. . .]

Ядро
Доступно для: iPhone 6s і новіших моделей, iPad Pro (усі моделі),
iPad Air 2 і пізніших, iPad 5-го покоління і пізніших,
iPad mini 4 і пізнішої версії та iPod touch (7-го покоління)

Вплив: програма може виконувати довільний код
з привілеями ядра. Apple знає про звіт про це
проблема, можливо, активно використовувалася.

Опис. Вирішено проблему запису поза межами
покращена перевірка меж.

CVE-2022-42827: анонімний дослідник

Отже, iOS/iPadOS 15 все ще підтримується, і якщо ви не перейшли до iOS 16.1 (або iPadOS 16-that-is-also-16.1) на початку тижня…

…тоді вам слід переконатися отримати iOS/iPadOS 15.7.1 негайно, тому що діра нульового дня в ядрі CVE-2022-42827, виправлена ​​в iOS 16.1, знаходиться прямо в iOS/iPadOS 15.7 і активно експлуатується.

Іншими словами, це був один із тих випадків, коли причиною відсутності оновлення кілька днів тому майже напевно було те, що патчі не були готові вчасно.

Що ж робити?

TL;DR, якщо ви користувач iPhone або iPad: якщо ви все ще використовуєте iOS/iPadOS основної версії 15, перейдіть до Налаштування > Загальне > Оновлення системи безпеки зразу.

Перевірте, навіть якщо у вас увімкнено автоматичні оновлення, і не забудьте не лише схвалити завантаження, якщо ви його ще не маєте, але й примусово перевірити свій пристрій на етапі встановлення, який вимагає одного або кількох перезавантажень (і, звичайно, відключіть свій телефон або планшет на деякий час).

TL;DR, якщо ви Apple: трохи більше ясності допоможе в бюлетенях з безпеки, особливо якщо ви знаєте, що критичне оновлення є крилом для користувачів попередніх версій, або що їм не знадобиться оновлення, оскільки їхня версія не вплине.

До речі, якщо ви вирішили перейти до iOS/iPadOS 16.1 на початку цього тижня, на всякий випадок...

…тепер ви не можете повернутися до iOS/iPadOS 15.7.1, оскільки Apple не дозволяє повертатися до попередньої версії.

(Повернення до попередньої версії полегшує джейлбрейк, якому Apple прагне запобігти, і в будь-якому випадку спершу вимагатиме повного видалення даних, щоб запобігти використанню повернення до попередньої версії як зловмисного обходу безпеки «принесіть свою помилку» для викрадання особистої інформації.)

---