Apple Diam-diam Menarik Pembaruan Zero-day Terbarunya – Bagaimana Sekarang?

Diterbitkan Ulang Oleh Plato

Followers: 0

Hukum Headline Betteridge menegaskan bahwa judul apa pun yang diajukan sebagai pertanyaan dapat langsung dijawab dengan "Tidak" yang sederhana.

Rupanya, teori di balik gurauan ini (sebenarnya bukan Hukum, bukan aturan, atau bahkan tidak lebih dari sugesti) adalah bahwa jika penulis tahu apa yang mereka bicarakan, dan memiliki bukti nyata untuk mendukung kasus mereka, mereka akan menulis tajuk utama sebagai fakta murni.

Ya, kami bukan jurnalis di Naked Security, jadi untungnya kami tidak terikat oleh undang-undang ini.

Jawaban kejam untuk pertanyaan kita sendiri di judul di atas adalah, "Tidak ada yang tahu kecuali Apple, dan Apple tidak mengatakannya."

Jawaban tengah jalan yang lebih baik tetapi diakui adalah, "Tunggu dan lihat."

.s-button+.s-button { margin-kiri: .3125rem; } .s-button { transisi: semua linier .15; ukuran font: .875rem; tinggi garis: 1.5; warna: #f2f2f2; font-family: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; font-berat: 400; gaya font: normal; tampilan: blok sebaris; bantalan: .3125rem 1.25rem; kursor: penunjuk; perataan teks: tengah; dekorasi teks: tidak ada; perbatasan: 1px solid #005bc8; batas-radius: 3px; warna latar: #005bc8; teks-bayangan: tidak ada; } .s-button:hover { dekorasi teks: tidak ada; warna: #ff; warna batas: #002d62; warna-latar belakang: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; warna batas: #fff; warna latar belakang: #fff; } .s-ad-sophos-mdr { ukuran font: 1rem; tinggi garis: 1.5; warna: #242629; font-family: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; font-berat: 400; gaya font: normal; posisi: relatif; lebar maks: 769 piksel; margin: 15px otomatis; bantalan: 30px 30px 25px; transisi: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); perataan teks: tengah; warna latar: #0d141d; background-repeat: tidak-ulangi; posisi latar belakang: 50%; ukuran latar belakang: sampul; box-shadow: 0 0 0 0 0 transparan; warna latar: #005bc8; gambar latar: tidak ada; posisi latar belakang: 0 0; } .s-ad-sophos-mdr__title { ukuran font: 2rem; tinggi garis: 1.125; margin-bawah: 4px; warna: #ff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; font-berat: 400; gaya font: normal; ukuran font: 17px; warna: #ff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { warna: #fff; } .s-ad-sophos-mdr__link-wrapper { dekorasi teks: tidak ada; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { posisi: mutlak; atas: 15 piksel; kanan: 15 piksel; } .s-ad-sophos-mdr__sophos-logo-svg { tampilan: inline-block; lebar: 64px; tinggi: 11 piksel; vertikal-align: atas; background-repeat: tidak-ulangi; ukuran latar belakang: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; font-berat: 400; gaya font: normal; ukuran font: 28px; berat font: 700; tinggi garis: 1; margin-bawah: 10px; perataan teks: kiri; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { ukuran font: 16px; tinggi garis: 1.25; perataan teks: kiri; } .s-ad-sophos-mdr__action { text-align: kanan; } .s-ad-sophos-mdr .s-button { radius batas: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-kanan: 140px; } .s-ad-sophos-mdr__action { posisi: mutlak; kanan: 30 piksel; bawah: 30 piksel; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { ukuran font: 1.625rem; } .s-ad-sophos-mdr__text { ukuran font: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Respon cepat

Kisah ini dimulai kemarin malam, di penghujung 2023-06-10 waktu Inggris, ketika kami bersemangat [apakah maksud Anda 'bersemangat?' – Ed.] menulis nasihat tentang Apple kedua kali Respons Keamanan Cepat (RSR):

RSR ini, seperti kita dijelaskan sebelumnya, Upaya Apple untuk memberikan perbaikan darurat satu masalah secepat yang biasanya dilakukan oleh proyek sumber terbuka yang dikelola dengan baik, di mana patch zero-day sering keluar dalam satu atau dua hari setelah masalah ditemukan, dengan pembaruan-ke-pembaruan berikut segera jika penyelidikan lebih lanjut mengungkapkan masalah lebih lanjut yang perlu diperbaiki.

Salah satu alasan proyek open source dapat mengambil pendekatan semacam ini adalah bahwa mereka biasanya menyediakan halaman unduhan dengan kode sumber lengkap dari setiap versi yang dirilis secara resmi, sehingga jika Anda terburu-buru untuk mengadopsi perbaikan terbaru dalam hitungan jam, bukan dalam hitungan hari atau hari. minggu, dan tidak berhasil, tidak ada penghalang untuk memutar kembali ke versi sebelumnya sampai perbaikan untuk perbaikan siap.

Jalur pemutakhiran resmi Apple, bagaimanapun, setidaknya untuk perangkat selulernya, selalu menyediakan tambalan tingkat sistem lengkap yang tidak akan pernah dapat dibatalkan, karena Apple tidak menyukai gagasan pengguna yang dengan sengaja menurunkan versi sistem mereka sendiri untuk mengeksploitasi bug lama untuk tujuan melakukan jailbreak pada perangkat mereka sendiri atau memasang sistem operasi alternatif.

Akibatnya, bahkan ketika Apple membuat perbaikan satu bug atau dua bug darurat untuk lubang zero-day yang sudah dieksploitasi secara aktif, perusahaan perlu membuat (dan Anda harus percaya) apa yang pada dasarnya adalah sebuah SATU ARAH meningkatkan, meskipun yang Anda butuhkan hanyalah minmalistik memperbarui ke salah satu komponen sistem untuk menambal bahaya yang jelas dan nyata.

Masuk ke proses RSR, memungkinkan tambalan cepat yang dapat Anda instal dengan tergesa-gesa, yang tidak mengharuskan Anda membuat ponsel offline selama 15 hingga 45 menit untuk reboot berulang kali, dan nanti dapat Anda hapus (dan instal ulang, dan hapus, dan seterusnya) jika Anda memutuskan bahwa penyembuhannya lebih buruk daripada penyakitnya.

Bug yang ditambal sementara melalui RSR akan ditambal secara permanen pada pemutakhiran versi lengkap berikutnya…

…sehingga RSR tidak memerlukan atau mendapatkan nomor versi baru mereka sendiri.

Sebagai gantinya, mereka menambahkan surat urutan, sehingga Respons Keamanan Cepat pertama untuk iOS 16.5.1 (yang keluar kemarin) ditampilkan di Settings > Umum > Tentang Kami as 16.5.1 (a).

(Kami tidak tahu apa yang terjadi jika urutannya lewat (z), tetapi kami bersedia bertaruh kecil untuk jawabannya (aa), atau mungkin (za) jika penyortiran menurut abjad dianggap penting.)

Di sini hari ini, pergi besok

Ngomong-ngomong, hanya beberapa jam setelah menasihati semua orang untuk mendapatkan iOS dan iPadOS 16.5.1 (a), karena itu memperbaiki exploit zero-day dalam kode WebKit Apple dan karenanya hampir pasti dapat disalahgunakan untuk kejahatan malware seperti menanamkan spyware atau menyambar data pribadi dari ponsel Anda…

… komentator (terima kasih khusus kepada John Michael Leslie, siapa diposting di halaman Facebook kami) mulai melaporkan bahwa pembaruan tidak lagi muncul saat digunakan Settings > Umum > Memperbarui perangkat lunak untuk mencoba memperbarui perangkat mereka.

Apple sendiri portal keamanan masih mencantumkan [2023-07-11T15:00:00Z] pembaruan terbaru sebagai macOS 13.4.1 (a) dan iOS/iPadOS 16.5.1 (a), tertanggal 2023-07-10, tanpa catatan apakah mereka resmi ditangguhkan atau tidak.

Tapi laporan melalui situs MacRumors menyarankan agar pembaruan telah ditarik untuk sementara waktu.

Salah satu alasan yang disarankan adalah bahwa browser Safari Apple sekarang mengidentifikasi dirinya dalam permintaan web dengan string User-Agent yang menyertakan pelengkap (a) dalam nomor kebenarannya.

Inilah yang kami lihat ketika kami mengarahkan browser Safari kami yang diperbarui di iOS ke soket TCP yang mendengarkan (diformat dengan jeda baris untuk meningkatkan keterbacaan):

$ ncat -vv -l 9999 Ncat: Versi 7.94 ( https://nmap.org/ncat ) Ncat: Mendengarkan pada :::9999 Ncat: Mendengarkan pada 0.0.0.0:9999 Ncat: Sambungan dari 10.42.42.1. Ncat: Koneksi dari 10.42.42.1:13337. DAPATKAN / HTTP/1.1 Host: 10.42.42.42:9999 Upgrade-Insecure-Requests: 1 Terima: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 seperti Mac OS X) AppleWebKit/605.1.15 (KHTML, seperti Gecko) Versi/16.5.2 (a) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate Connection: keep-alive NCAT DEBUG: Menutup fd 5.

Menurut beberapa komentator MacRumors, itu Version/ string, terdiri dari angka dan titik biasa bersama dengan beberapa teks aneh dan tak terduga dalam tanda kurung bulat, membingungkan beberapa situs web.

(Ironisnya, situs-situs yang kami lihat disalahkan dalam permainan versi-string-misparsing-menyalahkan ini semuanya tampaknya merupakan layanan yang jauh lebih umum diakses oleh aplikasi khusus daripada melalui browser, tetapi teorinya tampaknya adalah bahwa mereka tampaknya tersedak itu 16.5.2 (a) pengidentifikasi versi jika Anda memutuskan untuk mengunjunginya dengan versi Safari yang diperbarui.)

Apa yang harus dilakukan?

Sebenarnya, hanya Apple yang tahu apa yang terjadi di sini, dan tidak disebutkan. (Setidaknya, tidak secara resmi melalui portal keamanannya (HT201222) atau nya Tentang Respons Keamanan Cepat halaman (HT201224.)

Kami menyarankan, jika Anda sudah memiliki pembaruan, agar Anda tidak menghapusnya kecuali itu benar-benar mengganggu kemampuan Anda untuk menggunakan ponsel Anda dengan situs web atau aplikasi yang Anda perlukan untuk bekerja, atau kecuali departemen TI Anda sendiri secara eksplisit meminta Anda untuk memutar kembali ke rasa “non-(a)” dari macOS, iOS, atau iPadOS.

Lagi pula, pembaruan ini dianggap cocok untuk respons cepat karena eksploit yang diperbaikinya adalah lubang eksekusi kode jarak jauh (RCE) berbasis browser yang liar.

Jika Anda perlu atau ingin menghapus RSR, Anda dapat melakukan ini:

Jika Anda memiliki iPhone atau iPad. Pergi ke Settings > Umum > Tentang Kami > Versi iOS/iPadOS Dan pilihlah Hapus Tanggapan Keamanan.
Jika Anda memiliki Mac. Pergi ke Pengaturan sistem > Umum > Tentang Kami Dan klik (i) ikon di akhir item berjudul macOS Ventura.

Perhatikan bahwa kami langsung menginstal RSR di macOS Ventura 13.4.1 dan iOS 16.5.1, dan tidak mengalami masalah saat menjelajah ke situs web biasa kami melalui Safari atau Edge. (Ingat bahwa semua browser menggunakan WebKit di perangkat seluler Apple!)

Oleh karena itu kami tidak bermaksud untuk menghapus pembaruan, dan kami tidak ingin melakukannya secara eksperimental, karena kami tidak tahu apakah kami dapat menginstalnya kembali setelah itu.

Komentator telah menyarankan bahwa tambalan tidak dilaporkan ketika mereka mencoba dari perangkat yang belum ditambal, tetapi kami belum mencoba menambal ulang perangkat yang telah ditambal sebelumnya untuk melihat apakah itu memberi Anda tiket ajaib untuk mengambil pembaruan lagi.

Sederhananya:

Jika Anda telah mengunduh macOS 13.4.1 (a) atau iOS/iPadOS 16.5.1 (a), pertahankan pembaruan kecuali Anda benar-benar harus membuangnya, mengingat itu mengamankan Anda dari lubang nol hari.
Jika Anda menginstalnya dan benar-benar membutuhkan atau ingin menghapusnya, lihat petunjuk kami di atas, tetapi asumsikan bahwa Anda tidak akan dapat memasangnya kembali nanti, dan karena itu akan menempatkan diri Anda ke dalam kategori ketiga di bawah.
Jika Anda belum mendapatkannya, perhatikan ruang ini. Kami menduga bahwa (a) patch akan segera diganti dengan a (b) tambalan, karena keseluruhan ide dari "pembaruan berhuruf" ini adalah bahwa mereka dimaksudkan untuk menjadi tanggapan yang cepat. Tapi hanya Apple yang tahu pasti.

Kami akan menambal saran kami yang biasa dari kemarin dengan mengatakan: Jangan menunda; lakukan segera setelah Apple dan perangkat Anda mengizinkan.