Wir haben auf iOS 16 gewartet, angesichts des jüngsten Events von Apple, bei dem das iPhone 14 und andere aktualisierte Hardwareprodukte der Öffentlichkeit vorgestellt wurden.
Heute morgen haben wir a Einstellungen > Allgemeines > Software-Update, nur für den Fall …
…aber es kam nichts.
Aber irgendwann kurz vor 8:2022 Uhr heute Nacht britischer Zeit [09-12-18T31:XNUMXZ] landete eine Reihe von Update-Benachrichtigungen in unserem Posteingang und kündigte eine merkwürdige Mischung aus neuen und aktualisierten Apple-Produkten an.
Noch bevor wir die Bulletins durchgelesen haben, haben wir es versucht Einstellungen > Allgemeines > Software-Update wieder, und dieses Mal wurde uns ein Upgrade angeboten iOS 15.7, mit einem alternativen Upgrade, das uns direkt zu führen würde iOS 16:
Ein Update und ein Upgrade gleichzeitig verfügbar!
(Wir haben uns für das Upgrade auf iOS 16 entschieden – der Download war knapp 3 GB groß, aber nach dem Herunterladen verlief der Vorgang schneller als wir erwartet hatten, und bisher scheint alles gut zu funktionieren.)
Stellen Sie sicher, dass Sie aktualisieren, auch wenn Sie kein Upgrade durchführen
Nur um das klarzustellen, wenn Sie nicht wollen mehr Stunden zu iOS 16 müssen Sie noch Aktualisierung, Weil die iOS 15.7 und iPadOS 15.7 Updates enthalten zahlreiche Sicherheitspatches, darunter eine Korrektur für einen überschriebenen Fehler CVE-2022-32917.
Der Fehler, dessen Entdeckung einfach zugeschrieben wird „ein anonymer Forscher“, wird wie folgt beschrieben:
[Bug gepatcht in:] Kernel Verfügbar für: iPhone 6s und höher, iPad Pro (alle Modelle), iPad Air 2 und höher, iPad 5. Generation und höher, iPad mini 4 und höher und iPod touch (7. Generation) Auswirkung: An Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen. Apple ist ein Bericht bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde. Beschreibung: Das Problem wurde durch verbesserte Begrenzungsprüfungen behoben.
Wie wir darauf hingewiesen haben, wann Apples letzter ist Notfall-Zero-Day-Patches herauskam, bedeutet ein Kernel-Code-Ausführungsfehler, dass sogar unschuldig aussehende Apps (vielleicht einschließlich Apps, die es in den App Store geschafft haben, weil sie bei der Untersuchung keine offensichtlichen Warnsignale auslösten) aus Apples App-für-App-Sicherheitssperrung befreit werden könnten …
… und möglicherweise das gesamte Gerät übernehmen, einschließlich des Rechts, Systemoperationen wie die Verwendung der Kamera oder der Kameras durchzuführen, das Mikrofon zu aktivieren, Standortdaten zu erfassen, Screenshots zu machen, den Netzwerkverkehr auszuspähen, bevor er verschlüsselt wird (oder nachdem er entschlüsselt wurde). ), Zugriff auf Dateien anderer Apps und vieles mehr.
Wenn tatsächlich dieses „Problem“ (bzw Sicherheitslücke wie Sie es vielleicht lieber nennen würden) aktiv in freier Wildbahn ausgenutzt wurde, ist es vernünftig zu folgern, dass es da draußen Apps gibt, die ahnungslose Benutzer bereits installiert haben, aus einer ihrer Meinung nach vertrauenswürdigen Quelle, obwohl diese Apps Code zum Aktivieren enthielten und diese Schwachstelle missbrauchen.
Interessanterweise erhält macOS 11 (Big Sur) ein eigenes Update macOS 11.7, das ein zweites Zero-Day-Loch namens Patches CVE-2022-32894, beschrieben in genau den gleichen Worten wie das oben zitierte Zero-Day-Bulletin für iOS.
CVE-2022-32894 wird jedoch nur als Big Sur-Fehler aufgeführt, wobei die neueren Betriebssystemversionen macOS 12 (Monterey), iOS 15, iPadOS 15 und iOS 16 anscheinend nicht betroffen sind.
Denken Sie daran, dass eine Sicherheitslücke, die erst behoben wurde, nachdem die Bad Guys bereits herausgefunden hatten, wie sie ausgenutzt werden kann, als Zero-Day weil es null Tage gab, an denen selbst der fleißigste Benutzer oder Systemadministrator proaktiv dagegen hätte patchen können.
Die ganze Geschichte
Die in dieser Bulletin-Runde angekündigten Aktualisierungen beinhalten die folgenden.
Wir haben sie unten in der Reihenfolge aufgelistet, in der sie per E-Mail angekommen sind (umgekehrte numerische Reihenfolge), sodass iOS 16 unten angezeigt wird:
- APPLE-SA-2022-09-12-5: Safari 16. Dieses Update gilt für macOS Big Sur (Version 11) und Monterey (Version 12). Für macOS 10 (Catalina) ist kein Safari-Update aufgeführt. Zwei der behobenen Fehler könnten zur Remote-Code-Ausführung führen, was bedeutet, dass eine mit Sprengfallen versehene Website Malware auf Ihrem Computer einschleusen könnte (die anschließend CVE-2022-32917 missbrauchen könnte, um auf Kernel-Ebene zu übernehmen), obwohl keiner dieser Fehler aufgeführt ist als Null-Tage. (Sehen HT213442.)
- APPLE-SA-2022-09-12-4: macOS Monterey 12.6 Dieses Update kann als dringend angesehen werden, da es einen Fix für CVE-2022-32917 enthält. (Sehen HT213444.)
- APPLE-SA-2022-09-12-3: Macos Big Sur 11.7 Eine ähnliche Tranche von Patches wie die oben aufgeführten für macOS Monterey, einschließlich Zero-Day CVE-2022-32917. Dieses Big Sur-Update patcht auch CVE-2022-32894, den zweiten oben beschriebenen Kernel-Zero-Day. (Sehen HT213443.)
- APPLE-SA-2022-09-12-2: iOS 15.7 und iPadOS 15.7 Wie am Anfang des Artikels erwähnt, patchen diese Updates CVE-2022-32917. (Sehen HT213445.)
- APPLE-SA-2022-09-12-1: iOS 16 Der Grosse! Dazu gehören neben einer Reihe neuer Funktionen die separat für macOS gelieferten Safari-Patches (siehe oben in dieser Liste) und ein Fix für CVE-2022-32917. Interessanterweise rät das iOS 16-Upgrade-Bulletin dazu „[zusätzliche] CVE-Einträge [werden] bald hinzugefügt“, kennzeichnet aber CVE-2022-23917 nicht als Zero-Day. Ob das daran liegt, dass iOS 16 selbst noch nicht offiziell als „in freier Wildbahn“ galt, oder dass der bekannte Exploit auf einer ungepatchten iOS 16 Beta noch nicht funktioniert, können wir Ihnen nicht sagen. Aber der Fehler scheint tatsächlich von iOS 15 in die Codebasis von iOS 16 übertragen worden zu sein. (Sehen HT213446.)
Was ist zu tun?
Wie immer, Frühzeitig patchen, oft patchen.
Ein vollständiges Upgrade von iOS 15 auf iOS 16.0, wie es sich nach der Installation meldet, wird die bekannten Fehler in iOS 15 patchen. (Wir haben noch keine Ankündigung für iPadOS 16 gesehen.)
Wenn Sie noch nicht bereit für das Upgrade sind, führen Sie unbedingt ein Upgrade auf durch iOS 15.7, wegen der Zero-Day-Kernel-Lücke.
Auf iPads, für die iOS 16 noch nicht genannt wird, greifen Sie zu iPadOS 15.7 gerade jetzt – zögern Sie nicht, auf die Veröffentlichung von iPadOS 16 zu warten, da Sie sich unnötigerweise einem bekannten ausnutzbaren Kernel-Fehler aussetzen würden.
Auf Macs erhalten Monterey und Big Sur ein doppeltes Update, eines zum Patchen von Safari, das wird Safari 16, und eine für das Betriebssystem selbst, die Sie zu führt macOS 11.7 (Big Sur) oder macOS 12.6 (Monterey).
Diesmal kein Patch für iOS 12 und keine Erwähnung von macOS 10 (Catalina) – ob Catalina jetzt nicht mehr unterstützt wird oder einfach zu alt ist, um einen dieser Fehler aufzunehmen, können wir Ihnen nicht sagen.
Achten Sie auf diesen Bereich für alle CVE-Updates!
- Apple
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- iOS
- Kaspersky
- Malware
- McAfee
- Nackte Sicherheit
- NexBLOC
- OS X
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Verwundbarkeit
- Website-Sicherheit
- Zephyrnet
