普通读者会知道我们对 Apple 安全补丁的态度有两点:
- 我们希望尽快得到它们。 无论是包含一系列安全修复的完整版本升级,还是主要目的是修补错误而不是添加新功能的单点版本(最左边的版本号不变),我们宁愿犯错应用已知的安全修复程序而不是让我们的设备留下攻击者现在知道的漏洞,即使他们还不知道如何利用它们。
- 然而,我们经常发现 Apple 的公告令人困惑。 例如,如果你被困在这次没有得到更新的版本上,你永远不知道自己的立场。
苹果最新的安全公告,出来了 本周早些时候,似乎说明了公司有时似乎会因为说得太少而增加混乱……这并不总是发现太多的快乐选择:
突发混乱
根据过去几天我们从读者那里收到的询问和评论,出现了以下困惑:
- 为什么一个安全公告描述了名为 iOS 16.1 和 iPadOS 16 的更新? 我们知道 iPadOS 16 被推迟了,所以最近的更新是否意味着 iPadOS 现在只被修补到与一个多月前发布的 iOS 16 相同的安全级别,而 iOS 升级到 16.1,从而使 iPadOS 超过在网络安全方面落后五周?
- 为什么 iPadOS 16 最终将自己报告为 16.1 版本? (感谢来自比利时的 Stefaan 截取了他的 iPad 更新过程的屏幕截图并将其发送进来。)更新后,
About屏幕上显然显示 iPadOS 16,就像安全公告一样,而iPadOS Version屏幕明确表示 16.1。 听起来 iPhone 和 iPad 现在不仅都支持“被称为 16 的版本系列”,而且都具有最新的安全修复程序,所以为什么不简单地将它们都称为 16.1 版本以清楚起见,包括在安全公告中并且在About屏幕? - macOS 10 Catalina 去哪儿了? 传统上,当版本 X 发布时,Apple 会放弃对 macOS 版本 X-3 的支持,但这就是为什么 macOS 11 Big Sur 和 macOS 12 Monterey(分别为版本 X-2 和 X-1)得到更新而 Catalina 没有得到更新的实际解释。吨?
- iOS/iPadOS 15.7.1 发生了什么? 当 iOS 16 出来 2022 年 15.7 月,之前的版本系列也收到了重要更新,升级到了 XNUMX 版。 这包括一个关键的修复来关闭一个 内核级零日漏洞 在积极的利用下,这通常被翻译为“有人在外面偷偷把间谍软件偷偷带到 iPhone 上,伙计们”。 因此,鉴于包含 iOS 16.1 完后还有 内核零日修复,也许关闭了被更多间谍软件利用的途径,iOS/iPadOS 15 系列的相应补丁在哪里,以此类推,您会假设它是 15.7.1?
正如我们在 昨天的播客,面对一位关心的读者提出的上述第四个问题,我们的简短回答很简单,“DUCK:不知道。/DOUG:像泥巴一样清晰。”
有时,操作系统版本 X 中的安全漏洞根本不适用于版本 X-1,例如,因为漏洞存在于仅在较新版本中添加或仅暴露于危险的代码中。
但我们也看到 Apple 未能为以前的版本生成更新还有其他两个原因,要么 [a] 因为确实需要更新,但结果证明太棘手而无法及时准备和测试,或者 [b] 因为以前的版本现在被认为不支持,并且不会得到更新,无论是否有必要。
由于 Apple 安全公告几乎总是只告诉您当前可用的补丁,因此定期丢失更新仍然是一个无法解释(和无法解释)的谜团。
一大波公告
好吧,今天早上我们收到了来自 Apple 的 15 封安全公告电子邮件,其中大多数列出了我们在本周早些时候已经看到的公告中报告的许多 CVE 编号的错误和安全问题。
他们都没有直接澄清上述前三个问题,尽管我们现在假设 Apple 提到“iPadOS 16”和“iPadOS 16.1”的原因可能是一种误导性的尝试,试图传达 iPadOS 现在迟到的信息 升级 到版本系列 16,以及获得 更新 相当于新 iOS 16.1 的安全修复。
但是,Apple 最新发布的第一个公告确实解决了上面列出的最后一个问题,即发布了 iOS/iPadOS 15.7.1,结果证明这是一个 关键修复:
APPLE-SA-2022-10-27-1:iOS 15.7.1 和 iPadOS 15.7.1 iOS 15.7.1 和 iPadOS 15.7.1 解决了以下问题。 有关安全内容的信息也可在 https://support.apple.com/HT213490 获得。 [。 . .] 内核 适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代) 影响:应用程序可能能够以内核权限执行任意代码。 Apple 知道有报告称此问题可能已被积极利用。 描述:已通过改进边界检查解决越界写入问题。 CVE-2022-42827:匿名研究员
所以,iOS/iPadOS 15 仍然受支持,如果你没有在本周早些时候硬着头皮升级到 iOS 16.1(或分裂命名的 iPadOS 16-that-is-also-16.1)……
......那么你应该确保你 立即获取 iOS/iPadOS 15.7.1,因为在 iOS 2022 中修复的 CVE-42827-16.1 内核零日漏洞就在 iOS/iPadOS 15.7 中,正在积极利用中。
换句话说,这是几天前缺少更新的原因之一,几乎可以肯定只是补丁没有及时准备好。
怎么办呢?
TL;DR 如果您是 iPhone 或 iPad 用户: 如果您仍在使用 iOS/iPadOS 主要版本 15,请转到 个人设置 > 其他咨询 > 安全更新 立即使用.
检查您是否打开了自动更新,如果您还没有下载,请记住不仅要批准下载,还要强制您的设备通过安装阶段,这需要一次或多次重新启动(并且确实,当然,让您的手机或平板电脑离线一段时间)。
TL;DR 如果你是 Apple: 在安全公告中更加清晰会大有帮助,尤其是当您知道关键更新是早期版本用户的翅膀,或者他们不需要更新因为他们的版本不受影响时。
顺便说一句,如果你决定在本周早些时候跳到 iOS/iPadOS 16.1,为了安全起见……
…您现在不能回到 iOS/iPadOS 15.7.1,因为 Apple 不允许降级。
(降级有助于越狱,Apple 旨在防止这种情况发生,并且在任何情况下都需要先擦除完整的数据,以防止降级被用作恶意的“自带漏洞”安全绕过来窃取个人信息。)
