ТЕРМІНОВО! Apple випускає оновлення нульового дня для старіших iPhone та iPad

Ну, ми цього не очікували!

Нашому улюбленому iPhone 6+, якому вже майже вісім років, але він у первозданному стані, як новий, до недавнього UDI (ненавмисний інцидент зіскочення, також відомий як велосипедний удар, який розбив екран, але залишив пристрій нормально працюючим інакше), не отримував жодних оновлень безпеки від Apple майже рік.

Останнє оновлення, яке ми отримали, було назад 2021-09-23, коли ми оновили iOS 12.5.5.

Кожне наступне оновлення для iOS і iPadOS 15, зрозуміло, посилювало наше припущення про те, що Apple назавжди відмовилася від підтримки iOS 12, тому ми перевели старий iPhone у фоновий режим виключно як екстрений пристрій для карт або телефонних дзвінків у дорозі.

(Ми припускали, що ще один збій навряд чи зруйнує екран, тому це здавалося корисним компромісом.)

Але ми щойно це помітили Apple все-таки вирішила знову оновити iOS 12.

Це нове оновлення стосується таких моделей: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 та iPod touch 6-го покоління. (До виходу iOS 13.1 і iPadOS 13.1 на iPhone і iPad використовувалася одна операційна система, яка для обох пристроїв називалася iOS.)

Ми не отримали електронного листа з рекомендаціями щодо безпеки від Apple, але обережний читач Naked Security, який знає, що у нас все ще є той старий iPhone 6+, повідомив нас про Бюлетень безпеки Apple HT213428. (Спасибі!)

Простіше кажучи, Apple опублікувала патч для CVE-2022-32893, що є одним із дві таємничі помилки нульового дня які отримали екстрені виправлення на більшості інших платформ Apple раніше в серпні 2022 року:

Імплантація шкідливих програм

Як ви побачите в статті вище, існувала помилка віддаленого виконання коду WebKit, CVE-2022-32893, за допомогою якої джейлбрейкер, торговець шпигунським програмним забезпеченням або якийсь підступний кіберзлочинець міг заманити вас на мінований веб-сайт і запровадити зловмисне програмне забезпечення на вашому пристрої, навіть якщо все, що ви зробили, це поглянули на невинну сторінку чи документ.

Потім була друга помилка в ядрі, CVE-2022-32894, завдяки якій згадане шкідливе програмне забезпечення могло витягнути свої щупальця за межі програми, яку воно щойно скомпрометувало (наприклад, браузера чи засобу перегляду документів), і отримати контроль над нутрощами операційної системи. сама система, таким чином дозволяючи зловмисному програмному забезпеченню шпигувати, модифікувати або навіть встановлювати інші програми, обходячи хвалені та горезвісно відомі суворі заходи безпеки Apple.

Отже, ось хороша новина: iOS 12 не вразлива до CVE-2022-32894 нульового дня на рівні ядра, що майже напевно уникає ризику повної компрометації самої операційної системи.

Але ось погані новини: iOS 12 вразлива до помилки WebKit CVE-2022-32893, тож окремі програми на вашому телефоні точно знаходяться під загрозою зламу.

Ми припускаємо, що Apple, мабуть, зустріла принаймні деяких високопоставлених (або високоризикових, або обох) користувачів старих телефонів, які були скомпрометовані таким чином, і вирішила виштовхнути захист для всіх як особливий запобіжний захід.

Небезпека WebKit

Пам’ятайте, що помилки WebKit існують, грубо кажучи, на рівні програмного забезпечення під Safari, тому власний браузер Safari від Apple — не єдиний додаток, якому загрожує ця вразливість.

Усі браузери на iOS, навіть Firefox, Edge, Chrome і так далі, використовують WebKit (це вимога Apple, якщо ви хочете, щоб ваша програма потрапила в App Store).

І будь-яка програма, яка відображає веб-вміст для цілей, відмінних від загального перегляду, наприклад, на своїх сторінках довідки, це МЕНЮ на екрані чи навіть у вбудованому «мінібраузері» також під загрозою, оскільки він використовуватиме WebKit під кришкою.

Іншими словами, просто «уникати Safari» і використовувати сторонній веб-переглядач не є прийнятним обхідним шляхом у цьому випадку.

Що ж робити?

Тепер ми знаємо, що відсутність оновлення для iOS 12, коли з’явилися останні екстрені виправлення для останніх iPhone, не була пов’язана з тим, що iOS вже була безпечною.

Це було просто через те, що оновлення ще не було.

Отже, враховуючи те, що ми тепер знаємо, що iOS 12 is під загрозою, і що експлойти проти CVE-2022-32893 використовуються в реальному житті, і що є доступний патч…

…тоді це термінова справа Виправляйте рано/часто!

До Налаштування > Загальне > Оновлення програмного забезпечення, і перевірте, чи є у вас Система IOS 12.5.6.

Якщо ви ще не отримали оновлення автоматично, торкніться Завантаження та встановлення щоб почати процес негайно:

---