Denken Sie an das kurze, aber superschnelle Update von Apple vor drei Wochen rausgeschmissen, am 2023?
Dieses Update war das allererste in Apples neuem Design Schnelle Sicherheitsreaktion Prozess, bei dem das Unternehmen kritische Patches für wichtige Systemkomponenten veröffentlichen kann, ohne ein vollständiges Betriebssystem-Update durchführen zu müssen, das Sie auf eine neue Versionsnummer bringt.
Wie wir in dieser Woche im Naked Security-Podcast darüber nachgedacht haben:
Apple hat gerade „Rapid Security Responses“ eingeführt. Es wird berichtet, dass der Download nur wenige Sekunden dauert und ein superschneller Neustart erforderlich ist. [Aber] was die Verschwiegenheit [über das Update] betrifft, so sind sie schweigsam. Absolut keine Informationen, worum es ging. Aber es war schön und schnell!
Gut für einige
Leider waren diese neuen Rapid Security Responses nur für die allerneueste Version von macOS (derzeit Ventura) und das neueste iOS/iPadOS (derzeit Version 16) verfügbar, sodass Benutzer älterer Macs und iDevices sowie Besitzer von Apple Watches übrig blieben und Apple TVs im Dunkeln.
Apples Beschreibung der neuen schnellen Patches implizierte, dass sie sich typischerweise mit Zero-Day-Bugs befassen würden, die Kernsoftware wie den Safari-Browser und WebKit betrafen, die Web-Rendering-Engine, die jeder Browser auf iPhones und iPads verwenden muss.
Technisch gesehen könnten Sie eine iPhone- oder iPad-Browser-App erstellen, die die Chromium-Engine verwendet, wie es Chrome und Edge tun, oder die Gecko-Engine, wie es die Browser von Mozilla tun, aber Apple würde sie sonst nicht in den App Store zulassen.
Und da der App Store die einzige „Walled Garden“-Quelle für Apps für die Mobilgeräte von Apple ist, heißt das: Es ist die WebKit-Variante oder nicht.
Der Grund dafür, dass kritische WebKit-Fehler tendenziell gefährlicher sind als Fehler in vielen anderen Anwendungen, liegt darin, dass Browser ganz bewusst ihre Zeit damit verbringen, Inhalte von überall und überall im Internet abzurufen.
Browser verarbeiten dann diese nicht vertrauenswürdigen Dateien, die remote von den Webservern anderer Personen bereitgestellt werden, wandeln sie in sichtbare, anklickbare Inhalte um und zeigen sie als Webseiten an, mit denen Sie interagieren können.
Sie erwarten, dass Ihr Browser Sie aktiv warnt und ausdrücklich um Erlaubnis bittet, bevor er Aktionen ausführt, die als potenziell gefährlich gelten, wie z. B. das Aktivieren Ihrer Webcam, das Einlesen bereits auf Ihrem Gerät gespeicherter Dateien oder das Installieren neuer Software.
Sie erwarten aber auch, dass Inhalte, die nicht als unmittelbar gefährlich gelten, wie beispielsweise anzuzeigende Bilder, anzuzeigende Videos, abzuspielende Audiodateien usw., automatisch verarbeitet und Ihnen präsentiert werden.
Einfach ausgedrückt, lediglich Besuch Eine Webseite sollte Sie nicht dem Risiko aussetzen, dass Schadsoftware auf Ihr Gerät implantiert wird, Ihre Daten gestohlen werden, Ihre Passwörter ausgespioniert werden, Ihr digitales Leben Spyware ausgesetzt wird oder ähnliches geschieht.
Es sei denn, es liegt ein Fehler vor
Es sei denn natürlich, es liegt ein Fehler in WebKit vor (oder möglicherweise mehrere Fehler, die strategisch kombiniert werden können), sodass Ihr Browser allein durch die Vorbereitung einer absichtlich mit Sprengfallen versehenen Bilddatei, eines Videos oder eines JavaScript-Popups dazu verleitet werden könnte, etwas zu tun das sollte nicht sein.
Wenn Cyberkriminelle, Spyware-Verkäufer, Jailbreaker oder die Sicherheitsdienste einer Regierung, die Sie nicht mag, oder jemand, dem Ihre schlimmsten Interessen am Herzen liegen, einen solchen ausnutzbaren Fehler entdecken, können sie möglicherweise die Cybersicherheit gefährden Ihres gesamten Geräts…
… einfach dadurch, dass Sie auf eine ansonsten harmlos aussehende Website gelockt werden, deren Besuch absolut sicher sein sollte.
Nun, Apple hat gerade nach seinen neuesten Rapid Security Response-Patches umfassende Updates für alle unterstützten Produkte herausgebracht, und unter den Sicherheitsbulletins für diese Patches haben wir endlich herausgefunden, was diese Rapid Responses waren da, um es zu reparieren.
Zwei Zero-Days:
- CVE-2023-28204: WebKit. Ein außerhalb der Grenzen liegender Lesevorgang wurde durch eine verbesserte Eingabevalidierung behoben. Bei der Verarbeitung von Webinhalten können vertrauliche Informationen offengelegt werden. Apple ist bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.
- CVE-2023-32373: WebKit. Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben. Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen. Apple ist bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.
Wenn zwei Zero-Days dieser Art gleichzeitig in WebKit auftauchen, ist es im Allgemeinen eine gute Wette, dass sie von Kriminellen zu einem zweistufigen Übernahmeangriff kombiniert wurden.
Fehler, die den Speicher beschädigen, indem sie Daten überschreiben, die nicht berührt werden sollten (z. B. CVE-2023-32373), sind immer schlimm, aber moderne Betriebssysteme verfügen über zahlreiche Laufzeitschutzmaßnahmen, die verhindern sollen, dass solche Fehler ausgenutzt werden, um die Kontrolle über das fehlerhafte Programm zu übernehmen.
Wenn das Betriebssystem beispielsweise zufällig auswählt, wo Programme und Daten im Speicher landen, können Cyberkriminelle oft nicht viel mehr tun, als das anfällige Programm zum Absturz zu bringen, da sie nicht vorhersagen können, wie der Code, den sie angreifen, im Speicher angeordnet ist .
Aber mit genauen Informationen darüber, was sich wo befindet, kann ein grober, „crashtastischer“ Exploit manchmal in einen „Crash-and-Keep-Control“-Exploit umgewandelt werden: etwas, das unter dem selbstbeschreibenden Namen a bekannt ist Remote-Code-Ausführung Loch.
Natürlich können Bugs, die es Angreifern ermöglichen, aus nicht vorgesehenen Speicherorten zu lesen (z. B. CVE-2023-28204), nicht nur direkt zu Datenlecks und Datendiebstahl-Exploits führen, sondern auch indirekt zu „Crash-and-Keep-Attacken“ führen. Control“-Angriffe, indem sie Geheimnisse über die Speicheranordnung innerhalb eines Programms preisgeben und die Übernahme erleichtern.
Interessanterweise gibt es in den neuesten Updates einen dritten Zero-Day-Patch, dieser wurde jedoch offenbar nicht in der Rapid Security Response behoben.
- CVE-2023-32409: WebKit. Das Problem wurde durch verbesserte Grenzprüfungen behoben. Ein Remote-Angreifer kann möglicherweise aus der Sandbox für Webinhalte ausbrechen. Apple ist bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.
Wie Sie sich vorstellen können, käme die Kombination dieser drei Zero-Days einem Angreifer gleich: Der erste Bug enthüllt die Geheimnisse, die nötig sind, um den zweiten Bug zuverlässig auszunutzen, und der zweite Bug ermöglicht die Einschleusung von Code, um den dritten auszunutzen …
…an diesem Punkt hat der Angreifer nicht nur den „Walled Garden“ Ihrer aktuellen Webseite übernommen, sondern die Kontrolle über Ihren gesamten Browser übernommen, oder noch schlimmer.
Was ist zu tun?
Stellen Sie sicher, dass Sie gepatcht sind! (Gehe zu Einstellungen > Allgemeines > Software-Aktualisierung.)
Auch bei Geräten, die bereits Anfang März 2023 eine Rapid Security Response erhalten haben, muss noch ein Zero-Day gepatcht werden.
Und alle Plattformen haben viele weitere Sicherheitskorrekturen für Fehler erhalten, die für so unterschiedliche Angriffe ausgenutzt werden könnten wie: Umgehen von Datenschutzeinstellungen; Zugriff auf private Daten über den Sperrbildschirm; Lesen Ihrer Standortinformationen ohne Erlaubnis; Ausspionieren des Netzwerkverkehrs anderer Apps; und mehr.
Nach der Aktualisierung sollten Sie die folgenden Versionsnummern sehen:
- watchOS: jetzt bei Version 9.5
- tvOS: jetzt bei Version 16.5
- iOS 15 und iPadOS 15: jetzt bei Version 15.7.6
- iOS 16 und iPadOS 16: jetzt bei Version 16.5
- macOS Big Sur: Jetzt bei 11.7.7
- macOS Monterey: Jetzt bei 12.6.6
- macOS Venture: Jetzt bei 13.4
Wichtiger Hinweis: Wenn Sie macOS Big Sur oder macOS Monterey haben, sind diese wichtigen WebKit-Patches nicht im Versionsupdate des Betriebssystems enthalten, sondern werden in einem separaten Update-Paket mit dem Namen bereitgestellt Safari 16.5.
Viel Spaß!
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 1
- 15%
- 2023
- 7
- a
- Fähig
- Über uns
- Absolute
- absolut
- Zugriff
- Aktionen
- Aktivierungs
- aktiv
- Ziel
- Alle
- erlaubt
- bereits
- ebenfalls
- immer
- an
- und
- jedem
- jemand
- von jedem Standort
- App
- App Store
- Apple
- Anwendungen
- Apps
- SIND
- AS
- At
- Attacke
- Offensives
- Anschläge
- Audio-
- Autor
- Auto
- Im Prinzip so, wie Sie es von Google Maps kennen.
- verfügbar
- bewusst
- background-image
- Badewanne
- BE
- weil
- war
- Bevor
- Sein
- Wette
- Big
- Grenze
- Boden
- Break
- ausbrechen
- Browser
- Browsern
- Fehler
- Bugs
- gebündelt
- aber
- by
- namens
- CAN
- Center
- Schecks
- Chrome
- Chrom
- Code
- Farbe
- kombiniert
- Vereinigung
- Unternehmen
- Komponenten
- Kompromiss
- betrachtet
- Inhalt
- Smartgeräte App
- verkaufen
- Kernbereich
- könnte
- Kurs
- Abdeckung
- Crash
- erstellen
- Criminals
- kritischem
- Rohöl
- Strom
- Zur Zeit
- Cyber-Kriminelle
- Internet-Sicherheit
- Gefährlich
- Dunkel
- technische Daten
- Datenlecks
- Deal
- Beschreibung
- Gerät
- Geräte
- DID
- digital
- Direkt
- Enthüllen
- Display
- do
- Tut nicht
- Dabei
- herunterladen
- e
- einfacher
- Edge
- Ende
- Motor
- Ganz
- Äquivalent
- Jedes
- Beispiel
- Ausführung
- erwarten
- Ausnutzen
- Exploited
- Abenteuer
- Reichen Sie das
- Mappen
- Endlich
- Vorname
- fixiert
- gefolgt
- Folgende
- Aussichten für
- gefunden
- für
- Go
- gehen
- gut
- der Regierung
- Haben
- mit
- Herz
- Höhe
- Loch
- Startseite
- schweben
- Ultraschall
- HTTPS
- if
- Image
- Bilder
- Bild
- impliziert
- verbessert
- in
- das
- indirekt
- Information
- Varianten des Eingangssignals:
- Installieren
- absichtlich
- interagieren
- Interessen
- Internet
- in
- eingeführt
- iPad
- iPad
- iPhone
- Problem
- IT
- SEINE
- JavaScript
- nur
- Wesentliche
- bekannt
- neueste
- Letzte Aktualisierung
- Layout
- führen
- links
- Lebensdauer
- Gefällt mir
- Standorte
- Standorte
- MacOS
- Making
- Malware
- Management
- viele
- März
- Marge
- max-width
- Kann..
- Memory
- nur
- Mobil
- mobile Geräte
- modern
- mehr
- viel
- Name
- erforderlich
- Netzwerk
- Netzwerktraffic
- Neu
- schön
- nicht
- normal
- jetzt an
- Anzahl
- Zahlen
- of
- vorgenommen,
- on
- EINEM
- einzige
- die
- Betriebssystem
- Betriebssysteme
- or
- Andere
- Andernfalls
- übrig
- Besitzer
- Paket
- Seite
- Passwörter
- Patch
- Patches
- Alexander
- Personen
- Menschen
- Durchführung
- vielleicht
- Erlaubnis
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- gespielt
- Podcast
- Points
- Position
- BLOG-POSTS
- möglicherweise
- präzise
- vorhersagen
- Vorlieben
- Vorbereitung
- vorgeführt
- Datenschutz
- privat
- Prozessdefinierung
- Verarbeitung
- Produkte
- Programm
- Programme
- Push
- setzen
- schnell
- Lesen Sie mehr
- Lesebrillen
- Grund
- Received
- entfernt
- Rendering
- berichten
- Reporting
- Anforderung
- erfordern
- Antwort
- Antworten
- aufschlussreich
- Enthüllt
- Recht
- Risiko
- Führen Sie
- Safari
- safe
- gleich
- Sandkasten
- Zweite
- Sekunden
- Die Geheime
- Sicherheitdienst
- sehen
- Sellers
- empfindlich
- getrennte
- Leistungen
- mehrere
- mehrere Fehler
- sollte
- erklären
- gezeigt
- So
- Software
- solide
- etwas
- Quelle
- Sprechen
- verbringen
- Spionage
- Spyware
- Anfang
- Immer noch
- gestohlen
- Stoppen
- speichern
- gelagert
- Strategisch
- so
- geliefert
- Unterstützte
- vermutet
- SVG
- System
- Systeme und Techniken
- Nehmen
- Übernahme
- nimmt
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Diebstahl
- ihr
- Sie
- dann
- Diese
- vom Nutzer definierten
- Dritte
- fehlen uns die Worte.
- diejenigen
- nach drei
- Durch
- Zeit
- zu
- Top
- gerührt
- der Verkehr
- Übergang
- transparent
- Turned
- XNUMX
- typisch
- Aktualisierung
- Updates
- Aktualisierung
- URL
- -
- gebrauchsfertig
- benutzt
- Nutzer
- Bestätigung
- Version
- sehr
- Video
- Videos
- Besuchen Sie
- Verwundbar
- wurde
- Uhren
- Weg..
- we
- Netz
- Webcam
- Webkit
- Webseite
- Woche
- Wochen
- GUT
- waren
- Was
- wann
- welche
- werden wir
- mit
- ohne
- schlimmer
- Wurst
- würde
- U
- Ihr
- Zephyrnet
![S3 Ep119: Verstöße, Patches, Lecks und Optimierungen! [Audio + Text]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg)
![S3 Ep120: Wenn Dud Crypto einfach nicht loslässt [Audio + Text]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png)
![S3 Ep117: Die Kryptokrise, die es nicht gab (und Abschied für immer von Win 7) [Audio + Text]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png)
