Apple 大更新:Ventura 出局,iOS 和 iPad 内核零日漏洞 - 立即行动! PlatoBlockchain 数据智能。 垂直搜索。 哎。

Apple 大更新:Ventura 出局,iOS 和 iPad 内核零日漏洞 - 立即行动!

时间戳记:24年2022月7日下午03:XNUMX

by
保罗哈普林

Apple 最新的安全更新集合已经到来,包括刚刚发布的 macOS 13 冒险,伴随着它自己的 安全公告 列出了多达 112 个 CVE 编号的安全漏洞。

其中,我们统计了 27 个任意代码执行漏洞,其中 12 个允许恶意代码直接注入内核本身,一个允许不受信任的代码以系统权限运行。

最重要的是,我们假设为 Ventura 列出了两个特权提升 (EoP) 错误,这些错误可以与其余 14 个非系统代码执行错误中的一些、许多或全部一起使用,以形成一个攻击链,将用户级代码执行漏洞转化为系统级漏洞。

iPhone 和 iPad 面临现实风险

然而,这不是这个故事中最关键的部分。

“明显且存在的危险”奖授予 iOSiPadOS 端应用程序,这 得到更新 到版本 16.116 分别,其中列出的安全漏洞之一允许从任何应用程序执行内核代码,并且已经被积极利用。

简而言之,iPhone 和 iPad 需要立即修补,因为 内核零日.

苹果没有透露是哪个网络犯罪组织或间谍软件公司在滥用这个漏洞,被称为 CVE-2022-42827,但考虑到在网络黑社会中运行的 iPhone 零日漏洞命令的高昂代价,我们假设拥有此漏洞的人 [a] 知道如何使其有效工作,并且 [b] 自己不太可能引起人们的注意,以尽可能地让现有的受害者蒙在鼓里。

苹果公司已经发表了其惯用的样板评论,大意是该公司 “知道有报告称此问题可能已被积极利用”, 就这样。

因此,我们无法为您提供有关如何检查您自己设备上的攻击迹象的任何建议——我们不知道有任何所谓的 IoC (妥协指标),例如备份中的奇怪文件、意外的配置更改或您可能能够搜索到的异常日志文件条目。

因此,我们唯一的建议是我们通常敦促尽早打补丁/经常打补丁,方法是前往 个人设置 > 其他咨询 > 并选择 安装软件 如果您还没有收到修复程序。

当您可以跳到队列的最前面并立即获取更新时,为什么还要等待您的设备自行查找并建议更新呢?

卡特琳娜掉线了?

正如您可能已经猜到的那样,鉴于 Ventura 的发布将 macOS 带到了版本 13,三个版本之前的 macOS 10 Catalina 这次没有出现在列表中。

Apple 通常只为 macOS 的先前版本和先前版本提供安全更新,这就是补丁在这里发挥作用的方式,需要补丁 macOS 11大苏尔 到版本 11.7.1macOS 12 蒙特雷 到版本 12.6.1.

但是,这些版本也获得了 单独更新 列为 Safari 16.1的,它修复了 Safari 及其底层软件库 WebKit 中的几个听起来很危险的错误。

请记住,WebKit 不仅被 Safari 使用,还被任何其他依赖 Apple 底层代码来显示任何类型的基于 HTML 的内容的应用程序使用,包括帮助系统、关于屏幕和内置的“迷你浏览器”,在消息传递中很常见提供查看 HTML 文件、页面或消息的选项的应用程序。

Apple watchOStvOS 还获得了许多修复,并且它们的版本号更新为 观看9.1tvOS 16.1

怎么办呢?

好消息是,只有早期采用者和软件开发人员可能已经在运行 Ventura,作为 Apple Beta 生态系统的一部分。

鉴于已修复的大量错误,这些用户应尽快更新,而无需等待系统提醒或自动更新启动。

如果你不在 Ventura 但打算马上升级,你对新版本的第一次体验会自动包含上面提到的 112 个 CVE 补丁,所以版本 升级 将自动包含所需的安全性 更新.

如果您打算暂时使用以前或以前的 macOS 版本(或者,如果您像我们一样拥有无法升级的旧 Mac),请不要忘记您需要两个更新:一个特定于 Big Sur 或 Monterey,另一个是针对 Safari 的更新,这对于两种操作系统风格都是相同的。

总结一下:

  • 在 iOS 或 iPad 操作系统上, 紧急使用 个人设置 > 其他咨询 >
  • 在 macOS 上, 使用 Apple菜单 > 关于这台Mac > 软件更新…
  • macOS 13 文图拉测试版 用户应立即更新到完整版本。
  • 大苏尔和蒙特雷用户 升级到 Ventura 的用户会同时获得 macOS 13 安全修复程序。
  • macOS 11大苏尔11.7.1,并且需要 Safari 16.1的 以及。
  • macOS 12 蒙特雷12.6.1,并且需要 Safari 16.1的 以及。
  • watchOS9.1.
  • tvOS16.1.

请注意,macOS 10 Catalina 没有更新,但我们认为这是因为它对 Catalina 用户来说是路的尽头,而不是因为它仍然受支持但不受更高版本中发现的任何错误的影响。

如果我们是对的,无法升级他们的 Mac 的 Catalina 用户将永远被困在运行日益过时的 Apple 软件,或者切换到他们的设备上仍然支持的 Linux 发行版等替代操作系统。

Apple 安全公告的快速链接:

  • 苹果-SA-2022-10-24-1: HT213489 适用于 iOS 16.1 和 iPadOS 16
  • 苹果-SA-2022-10-24-2: HT213488 适用于 macOS 文图拉 13
  • 苹果-SA-2022-10-24-3: HT213494 适用于 macOS 蒙特雷 12.6.1
  • 苹果-SA-2022-10-24-4: HT213493 适用于 macOS Big Sur 11.7.1
  • 苹果-SA-2022-10-24-5: HT213491 对于 watchOS 9.1
  • 苹果-SA-2022-10-24-6: HT213492 适用于 tvOS 16.1
  • 苹果-SA-2022-10-24-7: HT213495 适用于 Safari 16.1

时间戳记:

更多来自 裸体安全