Apple'i saladus on väljas: 3 nullpäeva fikseeritud, seega parandage kindlasti kohe!

Pidage meeles Apple'i tõmblukuga, kuid ülikiire värskendus kolm nädalat tagasi välja lükatud, 2023-05-01?

See värskendus oli Apple'i uues versioonis esimene Kiire turvareageering protsess, mille käigus ettevõte saab süsteemi võtmekomponentide jaoks kriitilisi plaastreid välja suruda ilma täissuuruses operatsioonisüsteemi värskendust läbimata, mis viib teid uue versiooninumbrini.

Nagu me sel nädalal Naked Securirty taskuhäälingusaates mõtisklesime:

Apple tutvustas just kiirreageerimist. Inimesed teatavad, et allalaadimine võtab sekundeid ja nõuab ülikiiret taaskäivitamist. [Kuid] mis puudutab napisõnalisust [värskenduse kohta], siis need on lukustatud. Absoluutselt puudub teave, millega tegu. Aga tore ja kiire oli!

Mõne jaoks hea

Kahjuks olid need uued kiired turvareaktsioonid saadaval ainult macOS-i (praegu Ventura) ja uusima iOS/iPadOS-i (praegu versioonis 16) jaoks, millest jäid vanemate Macide ja iDevice'ide kasutajad ning Apple Watchide omanikud. ja Apple TV-d pimedas.

Apple'i uute kiirete paikade kirjeldus viitas sellele, et need tegelevad tavaliselt nullpäevavigadega, mis mõjutasid põhitarkvara, nagu Safari brauser, ja WebKit, mis on veebi renderdusmootor, mida iga brauser on kohustatud iPhone'is ja iPadis kasutama.

Tehniliselt võiksite luua iPhone'i või iPadi brauserirakenduse, mis kasutas Chromiumi mootorit, nagu seda teevad Chrome ja Edge, või Gecko mootorit, nagu seda teevad Mozilla brauserid, kuid Apple ei lubaks seda App Store'i, kui te seda teeksite.

Ja kuna App Store on Apple'i mobiilseadmete jaoks mõeldud rakenduste üks ja ainus "seinaga aia" allikas, on see nii: see on WebKiti viis või mitte.

Põhjus, miks WebKiti kriitilised vead kipuvad olema ohtlikumad kui paljudes teistes rakendustes esinevad vead, on see, et brauserid kulutavad tahtlikult aega sisu hankimisele kõikjalt ja kõikjalt Internetist.

Seejärel töötlevad brauserid neid ebausaldusväärseid faile, mida tarnivad eemalt teiste inimeste veebiserverid, teisendavad need vaadatavaks, klõpsatavaks sisuks ja kuvavad need veebilehtedena, millega saate suhelda.

Eeldate, et teie brauser hoiatab teid aktiivselt ja küsib selgesõnaliselt luba enne potentsiaalselt ohtlikuks peetavate toimingute sooritamist, nagu veebikaamera aktiveerimine, seadmesse juba salvestatud failide lugemine või uue tarkvara installimine.

Kuid eeldate, et ka sisu, mida ei peeta otseselt ohtlikuks, näiteks kuvatakse pilte, näidatakse videoid, esitatakse helifaile jne, töödeldakse ja esitatakse teile automaatselt.

Lihtsamalt öeldes, lihtsalt külastades Veebileht ei tohiks seada teid ohtu, et teie seadmesse siirdatakse pahavara, varastatakse teie andmeid, nuusutatakse välja teie paroole, satub teie digitaalne elu nuhkvara alla või mis tahes seda laadi pahategu.

Kui just viga pole

Kui muidugi pole WebKitis viga (või võib-olla mitu viga, mida saab strateegiliselt kombineerida), nii et pelgalt tahtlikult lõksus oleva pildifaili, video või JavaScripti hüpikakna ettevalmistamisega võidakse teie brauser midagi teha. see ei peaks.

Kui küberkurjategijad, nuhkvaramüüjad või vangimurdjad või valitsuse turvateenistused, kellele te ei meeldi, või keegi, kellel on teie hinge kõige hullemad huvid, avastavad sedasorti ärakasutatava vea, võivad nad küberjulgeolekut ohustada. kogu teie seadmest…

…lihtsalt meelitades teid muidu süütu välimusega veebisaidile, mille külastamine peaks olema täiesti ohutu.

Noh, Apple jälgis just oma uusimaid Rapid Security Resonse'i plaastreid kõigi toetatud toodete täielike värskendustega ja nende paikade turvabülletäänide hulgas saime lõpuks teada, mis need kiired vastused olid seal parandada.

Kaks nullpäeva:

• CVE-2023-28204: WebKit. Piiramatut lugemist käsitleti täiustatud sisendi valideerimisega. Veebisisu töötlemine võib avaldada tundlikku teavet. Apple on teadlik aruandest, et seda probleemi võidi aktiivselt ära kasutada.
• CVE-2023-32373: WebKit. Täiustatud mäluhaldusega lahendati pärast tasuta kasutamise probleem. Pahatahtlikult loodud veebisisu töötlemine võib viia suvalise koodi täitmiseni. Apple on teadlik aruandest, et seda probleemi võidi aktiivselt ära kasutada.

Üldiselt võib öelda, et kui WebKiti kuvatakse korraga kaks seda tüüpi nullpäeva, on hea panus, et kurjategijad on need kombineerinud, et luua kaheastmeline ülevõtmisrünnak.

Vead, mis rikuvad mälu, kirjutades üle andmeid, mida ei tohiks puudutada (nt CVE-2023-32373), on alati halvad, kuid kaasaegsed operatsioonisüsteemid sisaldavad palju käitusaegseid kaitseid, mille eesmärk on peatada selliste vigade ärakasutamine vigase programmi üle kontrolli saamiseks.

Näiteks kui operatsioonisüsteem valib juhuslikult, kuhu programmid ja andmed mällu jõuavad, ei saa küberkurjategijad sageli teha muud kui haavatava programmi krahhi, sest nad ei suuda ennustada, kuidas rünnatav kood mällu paigutatakse. .

Kuid täpse teabega selle kohta, kus asub, saab toorest, "krahhilisest" ärakasutamise mõnikord muuta "kokkujooksmiseks ja kontrolliks" vägiteoks: mida tuntakse ennast kirjeldava nime all. koodi kaugkäivitamine auk.

Muidugi võivad vead, mis lasevad ründajatel lugeda mälukohtadest, mida nad poleks ette näinud (nt CVE-2023-28204), mitte ainult otseselt põhjustada andmete lekkimist ja andmete varguse ärakasutamist, vaid ka kaudselt põhjustada "kokkujooksmist ja säilitamist. kontrolli” rünnakuid, paljastades programmisisese mälu paigutuse saladused ja hõlbustades selle ülevõtmist.

Huvitaval kombel on viimastes värskendustes paigatud kolmas nullpäev, kuid seda ei parandatud ilmselt kiirreageerimisel.

• CVE-2023-32409: WebKit. Probleem lahendati täiustatud piirikontrolliga. Võimalik, et kaugründaja suudab veebisisu liivakastist välja murda. Apple on teadlik aruandest, et seda probleemi võidi aktiivselt ära kasutada.

Nagu võite ette kujutada, oleks nende kolme nullpäeva kombineerimine samaväärne ründajaga kodus jooksmisega: esimene viga paljastab saladused, mis on vajalikud teise vea usaldusväärseks kasutamiseks, ja teine ​​viga võimaldab sisestada koodi kolmanda ärakasutamiseks. …

…sellel hetkel pole ründaja mitte ainult teie praeguse veebilehe "seinaga aia" üle võtnud, vaid haaranud kontrolli kogu teie brauseri üle või mis veelgi hullem.

Mida teha?

Veenduge, et olete paigatud! (Minema Seaded > Üldine > Tarkvarauuendus.)

Isegi nendel seadmetel, mis said juba 2023. aasta märtsi alguses kiire turvareaktsiooni, on nullpäeva vaja veel parandada.

Ja kõik platvormid on saanud palju muid turvaparandusi vigade jaoks, mida saab ära kasutada mitmesuguste rünnakute jaoks, näiteks: privaatsuseelistuste möödahiilimine; privaatsete andmete juurdepääs lukustuskuvalt; teie asukohateabe lugemine ilma loata; teiste rakenduste võrguliikluse järele luuramine; ja veel.

Pärast värskendamist peaksite nägema järgmisi versiooninumbreid:

• watchOS: nüüd versioonis 9.5
• tvOS: nüüd versioonis 16.5
• iOS 15 ja iPadOS 15: nüüd versioonis 15.7.6
• iOS 16 ja iPadOS 16: nüüd versioonis 16.5
• macOS Big Sur: nüüd kell 11.7.7
• macOS Monterey: nüüd kell 12.6.6
• macOS Ventura: nüüd kell 13.4

Tähtis: kui teil on macOS Big Sur või macOS Monterey, ei ole need ülitähtsad WebKiti paigad operatsioonisüsteemi versiooni värskendusega kaasas, vaid need tarnitakse eraldi värskenduspaketis nimega Safari 16.5.

Have fun!

---

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
• Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
• Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
• Allikas: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/