Applen salaisuus on julki: 3 nollapäivää korjattu, joten muista korjata nyt!

Applen salaisuus on julki: 3 nollapäivää korjattu, joten muista korjata nyt!

Aikaleima: 18. toukokuuta 2023 9
Lähdesolmu: 2662161
by Paul Ducklin

Muista Applen vetoketjullinen mutta erittäin nopea päivitys työnnettiin ulos kolme viikkoa sitten, 2023-05-01?

Tämä päivitys oli ensimmäinen Applen uudistuneessa Nopea suojaus prosessi, jossa yritys voi julkaista kriittisiä korjaustiedostoja keskeisille järjestelmäkomponenteille ilman, että se käy läpi täysikokoista käyttöjärjestelmäpäivitystä, joka vie sinut uuteen versionumeroon.

Kuten pohdimme Naked Securirty -podcastissa sillä viikolla:

Apple on juuri esitellyt "Rapid Security Responses". Ihmiset kertovat, että lataaminen kestää sekunteja ja vaatii yhden erittäin nopean uudelleenkäynnistyksen. [Mutta] mitä tulee tiukkaan sanomiseen [päivityksestä], ne ovat vetoketjullisia. Ei mitään tietoa mistä oli kyse. Mutta se oli mukavaa ja nopeaa!

Hyvä joillekin

Valitettavasti nämä uudet Rapid Security Responses olivat saatavilla vain uusimmassa macOS-versiossa (tällä hetkellä Ventura) ja uusimmassa iOS/iPadOS-versiossa (tällä hetkellä versiossa 16), jotka jättivät vanhempien Macien ja iDevices-laitteiden käyttäjät sekä Apple Watchien omistajat. ja Apple TV:t pimeässä.

Applen kuvaus uusista nopeista korjauksista vihjasi, että ne käsittelevät tyypillisesti nollapäivän virheitä, jotka vaikuttivat ydinohjelmistoihin, kuten Safari-selaimeen ja WebKitiin, joka on web-renderöintimoottori, jota jokaisen selaimen on käytettävä iPhonessa ja iPadissa.

Teknisesti voit luoda iPhone- tai iPad-selainsovelluksen, joka käytti Chromium-moottoria, kuten Chrome ja Edge tekevät, tai Gecko-moottoria, kuten Mozillan selaimet tekevät, mutta Apple ei päästäisi sitä App Storeen, jos tekisit.

Ja koska App Store on ainoa Applen mobiililaitteiden "seinäpuutarha" -sovelluslähde, se on siinä: se on WebKitin tapa tai ei tapa.

Syy siihen, että kriittiset WebKit-virheet ovat yleensä vaarallisempia kuin monissa muissa sovelluksissa esiintyvät virheet, on se, että selaimet viettävät aikansa tarkoituksella hakeen sisältöä mistä tahansa ja kaikkialta Internetistä.

Selaimet käsittelevät sitten nämä epäluotettavat tiedostot, jotka muiden ihmisten verkkopalvelimilla toimitetaan etänä, muuntaa ne katseltaviksi, napsautettavaksi sisällöksi ja näyttää ne verkkosivuina, joiden kanssa voit olla vuorovaikutuksessa.

Odotat, että selaimesi varoittaa sinua aktiivisesti ja pyytää nimenomaisesti lupaa ennen mahdollisesti vaarallisten toimien suorittamista, kuten verkkokameran aktivoimista, laitteellesi jo tallennettujen tiedostojen lukemista tai uuden ohjelmiston asentamista.

Mutta odotat myös, että sisältö, jota ei pidetä suoraan vaarallisena, kuten kuvat näytetään, videot näytetään, äänitiedostot toistetaan ja niin edelleen, käsitellään ja esitetään sinulle automaattisesti.

Yksinkertaisesti sanottuna vain luona Web-sivun ei pitäisi asettaa sinua vaaraan siitä, että laitteellesi istutetaan haittaohjelmia, varastetaan tietoja, haistetaan salasanojasi, että digitaalinen elämäsi joutuu vakoiluohjelmien kohteeksi tai minkäänlaiseen väärinkäyttöön.

Ellei siinä ole vikaa

Ellei WebKitissä ole tietenkään virhettä (tai ehkä useita bugeja, jotka voidaan yhdistää strategisesti), niin että pelkkä valmistelemalla tarkoituksellisesti loukkuun jäänyt kuvatiedosto, video tai JavaScript-ponnahdusikkuna, selaimesi saatetaan huijata tekemään jotain. sen ei pitäisi.

Jos kyberrikolliset, vakoiluohjelmien myyjät tai vankilan murtajat tai sellaisen hallituksen turvallisuuspalvelut, joka ei pidä sinusta, tai kuka tahansa, jolla on pahimpia etujasi, paljastaa tällaisen hyödynnettävän vian, he voivat vaarantaa kyberturvallisuuden. koko laitteestasi…

…yksinkertaisesti houkuttelemalla sinut muuten viattoman näköiselle verkkosivustolle, jonka pitäisi olla täysin turvallista vierailla.

No, Apple seurasi juuri uusimpia Rapid Security Resonse -korjauspäivityksiään täydellisillä päivityksillä kaikille tuetuille tuotteilleen, ja näiden korjaustiedostojen tietoturvatiedotteiden joukossa olemme vihdoin havainneet, mitä ne nopeat vastaukset olivat. siellä korjata.

Kaksi nollapäivää:

  • CVE-2023-28204: WebKit. Rajojen ulkopuolinen luku korjattiin parannetulla syötteen validoinnilla. Verkkosisällön käsittely saattaa paljastaa arkaluonteisia tietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
  • CVE-2023-32373: WebKit. Uudelleenkäyttöön liittyvä ongelma on korjattu parantamalla muistinhallintaa. Haitallisen verkkosisällön käsittely voi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Yleisesti ottaen, kun WebKitissä näkyy samanaikaisesti kaksi tällaista nollapäivää, on hyvä veto, että rikolliset ovat yhdistäneet ne luodakseen kaksivaiheisen kaappaushyökkäyksen.

Virheet, jotka turmelevat muistia ylikirjoittamalla tietoja, joihin ei pitäisi koskea (esim. CVE-2023-32373), ovat aina huonoja, mutta nykyaikaiset käyttöjärjestelmät sisältävät monia ajonaikaisia ​​suojauksia, joiden tarkoituksena on estää tällaisten bugien hyödyntäminen bugisen ohjelman hallintaan.

Jos käyttöjärjestelmä esimerkiksi valitsee satunnaisesti, mihin ohjelmat ja tiedot päätyvät muistiin, kyberrikolliset eivät useinkaan voi tehdä muuta kuin kaataa haavoittuvan ohjelman, koska he eivät pysty ennustamaan, kuinka hyökkäämä koodi on asetettu muistiin. .

Mutta kun on tarkat tiedot siitä, missä se on, karkea, "törmäyksen aiheuttanut" hyväksikäyttö voidaan joskus muuttaa "kaamaa ja pidä hallintaa" hyväksikäytöksi: se, mikä tunnetaan itsekuvaavalla nimellä koodin etäsuorittaminen reikä.

Virheet, jotka antavat hyökkääjien lukea muistipaikoista, joita heidän ei uskota (esim. CVE-2023-28204), voivat tietysti johtaa suoraan tietovuotoon ja tietovarkauksien hyväksikäyttöön, vaan myös johtaa epäsuorasti kaatumiseen ja säilyttämiseen. control” -hyökkäykset paljastamalla salaisuuksia ohjelman sisällä olevan muistin asettelusta ja helpottamalla sen hallintaa.

Kiinnostavaa on, että uusimmissa päivityksissä on korjattu kolmas nollapäivä, mutta tätä ei ilmeisesti korjattu Rapid Security Response -ohjelmassa.

  • CVE-2023-32409: WebKit. Ongelma on ratkaistu parantamalla rajatarkastuksia. Etähyökkääjä saattaa pystyä murtautumaan ulos verkkosisällön hiekkalaatikosta. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Kuten voit kuvitella, näiden kolmen nollapäivän yhdistäminen vastaisi hyökkääjän kotijuoksua: ensimmäinen bugi paljastaa salaisuudet, joita tarvitaan toisen bugin luotettavaan hyödyntämiseen, ja toinen bugi mahdollistaa koodin istuttamisen kolmannen hyödyntämiseen. …

…jolloin hyökkääjä ei ole vain ottanut haltuunsa nykyisen verkkosivusi "muuripuutarhaa", vaan ottanut haltuunsa koko selaimesi, tai vielä pahempaa.

Mitä tehdä?

Varmista, että olet korjattu! (Mene Asetukset > general > Ohjelmistopäivitys.)

Jopa laitteilla, jotka saivat Rapid Security Response -ilmoituksen jo maaliskuun 2023 alussa, on nollapäivä vielä korjattavana.

Ja kaikki alustat ovat saaneet monia muita tietoturvakorjauksia virheisiin, joita voidaan hyödyntää erilaisissa hyökkäyksissä, kuten: tietosuoja-asetusten ohittaminen; pääsy yksityisiin tietoihin lukitusnäytöltä; sijaintitietojesi lukeminen ilman lupaa; muiden sovellusten verkkoliikenteen vakoilu; ja enemmän.

Päivityksen jälkeen sinun pitäisi nähdä seuraavat versionumerot:

  • watchOS: nyt versiossa 9.5
  • tvOS: nyt versiossa 16.5
  • iOS 15 ja iPadOS 15: nyt versiossa 15.7.6
  • iOS 16 ja iPadOS 16: nyt versiossa 16.5
  • macOS Big Sur: nyt klo 11.7.7
  • macOS Monterey: nyt klo 12.6.6
  • macOS Ventura: nyt klo 13.4

Tärkeä huomautus: jos sinulla on macOS Big Sur tai macOS Monterey, nämä tärkeät WebKit-korjaukset eivät sisälly käyttöjärjestelmän versiopäivitykseen, vaan ne toimitetaan erillisessä päivityspaketissa nimeltä Safari 16.5.

Have fun!

Aikaleima:

Lisää aiheesta Naked Security