Olemme odottaneet iOS 16:ta, kun otetaan huomioon Applen äskettäinen tapahtuma, jossa iPhone 14 ja muut päivitetyt laitteistotuotteet esiteltiin yleisölle.
Tänä aamuna teimme a Asetukset > general > ohjelmistopäivitys, varmuuden vuoksi…
…mutta mitään ei näkynyt.
Mutta vähän ennen kello 8:2022 tänä iltana Ison-Britannian aikaa [09-12-18T31:XNUMXZ], postilaatikkoomme putosi joukko päivitysilmoituksia, jotka kertoivat uteliaasta yhdistelmästä uusia ja päivitettyjä Applen tuotteita.
Jo ennen kuin luimme tiedotteet, yritimme Asetukset > general > ohjelmistopäivitys uudelleen, ja tällä kertaa meille tarjottiin päivitystä iOS 15.7, vaihtoehtoisella päivityksellä, joka vie meidät suoraan iOS 16:
Päivitys ja päivitys saatavilla samanaikaisesti!
(Päivitimme iOS 16:een – lataus oli hieman alle 3 Gt, mutta latauksen jälkeen prosessi sujui odotettua nopeammin, ja kaikki näyttää toistaiseksi toimivan oikein hyvin.)
Muista päivittää, vaikka et päivittäisi
Selvyyden vuoksi, jos et halua parantaa iOS 16:een vielä, sinun on vielä tehtävä päivitys, koska iOS 15.7 ja iPadOS 15.7 päivitykset sisältävät lukuisia tietoturvakorjauksia, mukaan lukien korjaus kopioituun virheeseen CVE-2022-32917.
Virhe, jonka löytäminen yksinkertaisesti luetaan syyksi "anonyymi tutkija", kuvataan seuraavasti:
[Virhe korjattu:] Ydin Saatavilla: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad 5. sukupolvi ja uudemmat, iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi) Vaikutus: An sovellus saattaa pystyä suorittamaan mielivaltaista koodia ytimen oikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti. Kuvaus: Ongelma on ratkaistu parannetulla rajojen tarkistuksella.
Kuten huomautimme, kun Applen viimeinen nollapäivän hätälaastarit ilmestyi, ytimen koodin suoritusvirhe tarkoittaa, että jopa viattoman näköiset sovellukset (ehkä mukaan lukien sovellukset, jotka pääsivät App Storeen, koska ne eivät herättäneet selviä punaisia lippuja tutkittaessa) voivat purkaa Applen sovelluskohtaisesta tietoturvalukitusta...
…ja mahdollisesti ottaa haltuunsa koko laitteen, mukaan lukien oikeudet suorittaa järjestelmätoimintoja, kuten käyttää kameraa tai kameroita, aktivoida mikrofonia, hankkia sijaintitietoja, ottaa kuvakaappauksia, haukkua verkkoliikennettä ennen kuin se salataan (tai sen salauksen purkamisen jälkeen). ), käyttää muihin sovelluksiin kuuluvia tiedostoja ja paljon muuta.
Jos todellakin tämä "ongelma" (tai turva-aukko kuten saatat mieluummin kutsua) on käytetty aktiivisesti luonnossa, on järkevää päätellä, että siellä on sovelluksia, jotka hyväuskoiset käyttäjät ovat jo asentaneet luotetusta lähteestä, vaikka kyseiset sovellukset sisälsivät aktivointikoodin. ja käyttää tätä haavoittuvuutta väärin.
Kiinnostavaa kyllä, macOS 11 (Big Sur) saa oman päivityksen MacOS 11.7, joka korjaa toisen nollapäivän aukon CVE-2022-32894, joka on kuvattu täsmälleen samoilla sanoilla kuin yllä lainattu iOS:n nollapäivätiedote.
CVE-2022-32894 on kuitenkin lueteltu vain Big Sur -virheenä, ja uudemmat käyttöjärjestelmän versiot macOS 12 (Monterey), iOS 15, iPadOS 15 ja iOS 16 eivät ilmeisesti vaikuta.
Muista, että turva-aukko, joka korjattiin vasta sen jälkeen, kun Bad Guys oli jo keksinyt, kuinka sitä voidaan hyödyntää, tunnetaan nimellä nollapäivän koska ei ollut nolla päivää, jolloin innokkainkin käyttäjä tai järjestelmänvalvoja olisi voinut korjata sitä vastaan ennakoivasti.
Koko tarina
Tällä tiedotekierroksella ilmoitetut päivitykset sisältävät seuraavat.
Olemme listanneet ne alla siinä järjestyksessä, jossa ne saapuivat sähköpostitse (käänteinen numerojärjestys), jotta iOS 16 näkyy alareunassa:
- APPLE-SA-2022-09-12-5: Safari 16. Tämä päivitys koskee macOS Big Suria (versio 11) ja Montereyä (versio 12). Safari-päivitystä ei ole luettelossa macOS 10:lle (Catalina). Kaksi korjatuista virheistä saattaa johtaa koodin etäsuorittamiseen, mikä tarkoittaa, että ansaan jäänyt verkkosivusto voi istuttaa tietokoneellesi haittaohjelmia (joka voi myöhemmin väärinkäyttää CVE-2022-32917:ää omaksuakseen vallan ytimen tasolla), vaikka kumpaakaan näistä bugeista ei ole listattu. nollapäivinä. (Katso HT213442.)
- APPLE-SA-2022-09-12-4: macOS Monterey 12.6 Tätä päivitystä voidaan pitää kiireellisenä, koska se sisältää korjauksen CVE-2022-32917:ään. (Katso HT213444.)
- APPLE-SA-2022-09-12-3: macOS BigSur 11.7 Samanlainen erä korjaustiedostoja kuin yllä luetellut macOS Montereylle, mukaan lukien CVE-2022-32917 nollapäivä. Tämä Big Sur -päivitys korjaa myös CVE-2022-32894:n, toisen yllä kuvatun ytimen nollapäivän. (Katso HT213443.)
- APPLE-SA-2022-09-12-2: iOS 15.7 ja iPadOS 15.7 Kuten artikkelin alussa todettiin, nämä päivitykset korjaavat CVE-2022-32917. (Katso HT213445.)
- APPLE-SA-2022-09-12-1: iOS 16 Se iso! Uusien ominaisuuksien lisäksi tämä sisältää erikseen toimitetut Safari-korjaukset macOS:lle (katso tämän luettelon yläosa) ja korjauksen CVE-2022-32917:lle. Kiehtovaa on, että iOS 16 -päivitystiedote neuvoo tätä "[lisää] lisää CVE-merkintöjä pian", mutta se ei merkitse CVE-2022-23917 nollapäivänä. Emme voi kertoa, johtuuko tämä siitä, että iOS 16:ta ei pidetty vielä virallisesti "luokassa" tai siitä, että tunnettu hyväksikäyttö ei vielä toimi korjaamattomassa iOS 16 Beta -versiossa. Mutta virhe näyttää todellakin siirtyneen iOS 15:stä iOS 16:n koodikantaan. (Katso HT213446.)
Mitä tehdä?
Kuten aina, Korjaa aikaisin, korjaa usein.
Täysi päivitys iOS 15:stä iOS 16.0, kuten se ilmoittaa itsestään asennuksen jälkeen, korjaa tunnetut viat iOS 15:ssä. (Emme ole vielä nähneet ilmoitusta iPadOS 16:sta.)
Jos et ole vielä valmis päivitykseen, muista päivittää siihen iOS 15.7, nollapäivän ytimen reiän takia.
Tartu iPadeihin, joissa iOS 16:ta ei vielä mainita iPadOS 15.7 juuri nyt – älä odota iPadOS 16:n ilmestymistä, koska joutuisit tarpeettomasti alttiiksi tunnetulle hyödynnettävälle ytimen puutteelle.
Maceilla Monterey ja Big Sur saavat kaksinkertaisen päivityksen, yhden Safarin korjaamiseksi, josta tulee Safari 16, ja yksi itse käyttöjärjestelmälle, joka vie sinut MacOS 11.7 (Big Sur) tai MacOS 12.6 (Monterey).
Ei korjaustiedostoa iOS 12:lle tällä kertaa, eikä mainintaa macOS 10:stä (Catalina) – emme voi kertoa, onko Catalinaa nyt enää tuettu vai yksinkertaisesti liian vanha sisällyttääkseen mitään näistä virheistä.
Katso tästä tilasta kaikki CVE-päivitykset!
- omena
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- iOS
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- OS X
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- alttius
- verkkosivuilla turvallisuus
- zephyrnet
