Apple âm thầm kéo bản cập nhật zero-day mới nhất của mình - bây giờ thì sao?

Quy luật về tiêu đề của Betteridge khẳng định rằng bất kỳ tiêu đề nào được đặt ra dưới dạng câu hỏi đều có thể được trả lời ngay lập tức bằng một câu trả lời đơn giản là “Không”.

Rõ ràng, lý thuyết đằng sau sự hóm hỉnh này (nó thực sự không phải là Luật, cũng không phải là quy tắc, thậm chí cũng không phải là bất cứ điều gì khác hơn là một gợi ý) là nếu tác giả biết họ đang nói về điều gì và có bằng chứng xác thực để hỗ trợ cho trường hợp của họ, họ sẽ viết tiêu đề như một sự thật không thể chối cãi.

Chà, chúng tôi không phải là nhà báo ở đây về Naked Security, vì vậy may mắn thay, chúng tôi không bị ràng buộc bởi luật này.

Câu trả lời tàn nhẫn cho câu hỏi của chính chúng ta trong tiêu đề trên là, “Không ai biết ngoại trừ Apple, và Apple không nói.”

Một câu trả lời giữa đường tốt hơn nhưng phải thừa nhận là, "Chờ và xem."

Phản hồi nhanh chóng

Câu chuyện này bắt đầu vào cuối ngày hôm qua, vào cuối ngày 2023-06-10 theo giờ Vương quốc Anh, khi chúng tôi hào hứng [bạn có nghĩa là 'dễ bị kích thích?' – Ed.] đã viết một lời khuyên về Apple lần thứ hai Phản hồi bảo mật nhanh (RSR):

Những RSR này, như chúng ta giải thích trước, nỗ lực của Apple nhằm cung cấp các bản sửa lỗi khẩn cấp cho một vấn đề một cách nhanh chóng như dự án nguồn mở được quản lý tốt thường làm, trong đó các bản vá zero-day thường xuất hiện trong vòng một hoặc hai ngày sau khi phát hiện sự cố, với các bản cập nhật theo sau kịp thời nếu các cuộc điều tra tiếp theo cho thấy các vấn đề khác cần được khắc phục.

Một lý do khiến các dự án nguồn mở có thể áp dụng cách tiếp cận này là vì chúng thường cung cấp trang tải xuống với mã nguồn đầy đủ của mọi phiên bản được phát hành chính thức, để nếu bạn gấp rút áp dụng các bản sửa lỗi mới nhất trong vài giờ, thay vì trong vài ngày hoặc tuần và chúng không hoạt động, không có rào cản nào để quay trở lại phiên bản trước cho đến khi bản sửa lỗi cho bản sửa lỗi sẵn sàng.

Tuy nhiên, lộ trình nâng cấp chính thức của Apple, ít nhất là cho các thiết bị di động của họ, luôn là cung cấp đầy đủ các bản vá cấp hệ thống không bao giờ có thể khôi phục được, bởi vì Apple không thích ý tưởng người dùng cố tình hạ cấp hệ thống của họ để khai thác các lỗi cũ nhằm mục đích bẻ khóa thiết bị của chính họ hoặc cài đặt hệ điều hành thay thế.

Kết quả là, ngay cả khi Apple đưa ra các bản sửa lỗi khẩn cấp một lỗi hoặc hai lỗi cho các lỗ hổng zero-day đã được tích cực khai thác, công ty vẫn cần nghĩ ra (và bạn cần đặt niềm tin của mình vào) về cơ bản là một một chiều nâng cấp, mặc dù tất cả những gì bạn thực sự cần là một sự tối giản cập nhật đến một thành phần của hệ thống để vá một mối nguy hiểm rõ ràng và hiện tại.

Tham gia quy trình RSR, cho phép các bản vá nhanh chóng mà bạn có thể cài đặt vội vàng, không yêu cầu bạn ngắt kết nối điện thoại trong 15 đến 45 phút khởi động lại nhiều lần và sau đó bạn có thể gỡ bỏ (và cài đặt lại, gỡ bỏ và v.v.) nếu bạn quyết định rằng phương thuốc còn tệ hơn căn bệnh.

Các lỗi được vá tạm thời thông qua RSR sẽ được vá vĩnh viễn trong lần nâng cấp phiên bản đầy đủ tiếp theo…

…để các RSR không cần hoặc không cần có số phiên bản hoàn toàn mới của riêng chúng.

Thay vào đó, họ nhận được một ký tự thứ tự được thêm vào để Phản hồi bảo mật nhanh đầu tiên cho iOS 16.5.1 (ra mắt ngày hôm qua) được hiển thị trong Cài đặt > Tổng Quát > Giới thiệu as 16.5.1 (a).

(Chúng ta không biết điều gì sẽ xảy ra nếu trình tự đã từng đi qua (z), nhưng chúng tôi sẵn sàng đánh cược một chút vào câu trả lời là (aa), hoặc có lẽ (za) nếu khả năng sắp xếp theo thứ tự bảng chữ cái được coi là quan trọng.)

Ở đây hôm nay, ra đi ngày mai

Dù sao đi nữa, chỉ vài giờ sau khi khuyên mọi người tải xuống iOS và iPadOS 16.5.1 (a), vì nó sửa lỗi khai thác zero-day trong mã WebKit của Apple và do đó gần như chắc chắn có thể bị lạm dụng cho các phần mềm độc hại khó chịu như cài đặt phần mềm gián điệp hoặc lấy dữ liệu riêng tư từ điện thoại của bạn…

…người bình luận (đặc biệt cảm ơn John Michael Leslie, người đăng trên trang Facebook của chúng tôi) bắt đầu báo cáo rằng bản cập nhật không còn hiển thị khi họ sử dụng Cài đặt > Tổng Quát > cập nhật phần mềm để cố gắng cập nhật thiết bị của họ.

Của Apple cổng bảo mật vẫn liệt kê [2023-07-11T15:00:00Z] các bản cập nhật gần đây nhất dưới dạng macOS 13.4.1 (a) và iOS/iPadOS 16.5.1 (a), ngày 2023-07-10, không có ghi chú nào về việc họ đã chính thức bị đình chỉ hay chưa.

Nhưng báo cáo thông qua trang MacRumors gợi ý rằng các bản cập nhật đã bị rút lại trong thời điểm hiện tại.

Một lý do được đề xuất là trình duyệt Safari của Apple hiện tự nhận dạng chính nó trong các yêu cầu web bằng chuỗi Tác nhân người dùng bao gồm phần phụ (a) trong số verion của nó.

Đây là những gì chúng tôi đã thấy khi trỏ trình duyệt Safari đã cập nhật của mình trên iOS vào ổ cắm TCP đang nghe (được định dạng bằng ngắt dòng để cải thiện mức độ dễ đọc):

$ ncat -vv -l 9999 Ncat: Phiên bản 7.94 ( https://nmap.org/ncat ) Ncat: Nghe trên :::9999 Ncat: Nghe trên 0.0.0.0:9999 Ncat: Kết nối từ 10.42.42.1. Ncat: Kết nối từ 10.42.42.1:13337. GET / HTTP/1.1 Host: 10.42.42.42:9999 Upgrade-Insecure-Requests: 1 Chấp nhận: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 Tác nhân người dùng: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 như Mac OS X) AppleWebKit/605.1.15 (KHTML, như Gecko) Phiên bản/16.5.2 (a) Di động/15E148 Safari/604.1 Ngôn ngữ chấp nhận: en-GB,en; q=0.9 Chấp nhận-Mã hóa: gzip, giảm phát Kết nối: NCAT GỠ LỖI NCAT duy trì: Đang đóng fd 5.

Theo một số nhà bình luận MacRumors, rằng Version/ chuỗi, bao gồm các số và dấu chấm thông thường cùng với một số văn bản kỳ lạ và bất ngờ trong dấu ngoặc tròn, đang gây nhầm lẫn cho một số trang web.

(Trớ trêu thay, tất cả các trang web mà chúng tôi đã thấy bị đổ lỗi trong trò chơi-đổ lỗi-chuỗi-phiên-bản-sai-lỗi-dường-như-này dường như đều là các dịch vụ thường được các ứng dụng chuyên dụng truy cập nhiều hơn là thông qua trình duyệt, nhưng lý thuyết dường như là chúng nghẹt thở về điều đó 16.5.2 (a) phiên bản nếu bạn quyết định truy cập chúng bằng phiên bản Safari đã cập nhật.)

Phải làm gì?

Nói một cách chính xác, chỉ có Apple biết chuyện gì đang xảy ra ở đây và họ không nói ra. (Ít nhất, không chính thức thông qua cổng bảo mật của nó (HT201222) Hoặc của nó Giới thiệu về Phản hồi bảo mật nhanh trang (HT201224.)

Nếu bạn đã có bản cập nhật, chúng tôi khuyên bạn không nên xóa bản cập nhật trừ khi bản cập nhật thực sự ảnh hưởng đến khả năng sử dụng điện thoại của bạn với các trang web hoặc ứng dụng bạn cần cho công việc hoặc trừ khi bộ phận CNTT của chính bạn yêu cầu bạn quay lại một cách rõ ràng đến hương vị “không phải (a)” của macOS, iOS hoặc iPadOS.

Rốt cuộc, bản cập nhật này được coi là phù hợp để phản hồi nhanh vì khai thác mà nó sửa là một lỗ hổng thực thi mã từ xa (RCE) dựa trên trình duyệt.

Nếu bạn cần hoặc muốn xóa RSR, bạn có thể thực hiện việc này:

• Nếu bạn có iPhone hoặc iPad. Truy cập Cài đặt > Tổng Quát > Giới thiệu > Phiên bản iOS/iPadOS Và chọn Xóa phản hồi bảo mật.
• Nếu bạn có máy Mac. Truy cập Cài đặt hệ thống > Tổng Quát > Giới thiệu Và nhấp vào (i) biểu tượng ở cuối mục có tiêu đề hệ điều hành macOS.

Lưu ý rằng chúng tôi đã cài đặt RSR ngay trên macOS Ventura 13.4.1 và iOS 16.5.1 và không gặp bất kỳ sự cố nào khi duyệt các trang web thông thường của chúng tôi qua Safari hoặc Edge. (Hãy nhớ rằng tất cả các trình duyệt đều sử dụng WebKit trên thiết bị di động của Apple!)

Do đó, chúng tôi không có ý định xóa bản cập nhật và chúng tôi không sẵn sàng làm như vậy theo cách thử nghiệm vì chúng tôi không biết liệu mình có thể cài đặt lại bản cập nhật đó sau đó hay không.

Những người bình luận đã gợi ý rằng bản vá đơn giản là không được báo cáo khi họ thử từ một thiết bị chưa được vá, nhưng chúng tôi chưa thử vá lại một thiết bị đã được vá trước đó để xem liệu điều đó có mang lại cho bạn một tấm vé thần kỳ để tìm nạp lại bản cập nhật hay không.

Chỉ cần đặt:

• Nếu bạn đã tải xuống macOS 13.4.1 (a) hoặc iOS/iPadOS 16.5.1 (a), giữ bản cập nhật trừ khi bạn hoàn toàn phải loại bỏ nó, vì nó bảo vệ bạn khỏi lỗ hổng zero-day.
• Nếu bạn đã cài đặt và thực sự cần hoặc muốn gỡ bỏ nó, xem hướng dẫn của chúng tôi ở trên, nhưng giả sử rằng bạn sẽ không thể cài đặt lại nó sau này và do đó, bạn sẽ tự xếp mình vào danh mục thứ ba bên dưới.
• Nếu bạn chưa có nó, hãy xem không gian này. Chúng tôi đoán rằng (a) bản vá sẽ nhanh chóng được thay thế bằng một (b) bản vá lỗi, bởi vì toàn bộ ý tưởng của những “cập nhật bằng chữ cái” này là chúng được dùng để phản hồi nhanh. Nhưng chỉ có Apple biết chắc chắn.

Chúng tôi sẽ vá lời khuyên thông thường của chúng tôi từ ngày hôm qua bằng cách nói: Không chậm trễ; làm điều đó ngay khi Apple và thiết bị của bạn cho phép bạn.

---

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/