Ingat bahwa update zip-bibir tapi super cepat itu Apple tersingkir tiga minggu lalu, pada 2023-05-01?
Pembaruan itu adalah yang pertama dalam model baru Apple Respon Keamanan Cepat proses, di mana perusahaan dapat mengeluarkan tambalan penting untuk komponen sistem utama tanpa melalui pembaruan sistem operasi ukuran penuh yang membawa Anda ke nomor versi baru.
Seperti yang kami renungkan di podcast Naked Security minggu itu:
Apple baru saja memperkenalkan "Tanggapan Keamanan Cepat". Orang-orang melaporkan bahwa mereka membutuhkan beberapa detik untuk mengunduh dan memerlukan satu kali reboot super cepat. [Tapi] untuk bungkam [tentang pembaruan], mereka bungkam. Sama sekali tidak ada informasi tentang apa itu. Tapi itu bagus dan cepat!
Bagus untuk beberapa orang
Sayangnya, Respons Keamanan Cepat baru ini hanya tersedia untuk versi terbaru macOS (saat ini Ventura) dan iOS/iPadOS terbaru (saat ini versi 16), yang menyisakan pengguna Mac dan iDevices lama, serta pemilik Apple Watches dan Apple TV, dalam gelap.
Deskripsi Apple tentang patch cepat baru menyiratkan bahwa mereka biasanya menangani bug zero-day yang memengaruhi perangkat lunak inti seperti browser Safari, dan WebKit, yang merupakan mesin rendering web yang wajib digunakan setiap browser di iPhone dan iPad.
Secara teknis, Anda dapat membuat aplikasi browser iPhone atau iPad yang menggunakan mesin Chromium, seperti yang dilakukan Chrome dan Edge, atau mesin Gecko, seperti yang dilakukan browser Mozilla, tetapi Apple tidak akan mengizinkannya masuk ke App Store jika Anda melakukannya.
Dan karena App Store adalah satu-satunya sumber aplikasi "taman bertembok" untuk perangkat seluler Apple, yaitu: cara WebKit, atau tidak sama sekali.
Alasan mengapa bug WebKit yang kritis cenderung lebih berbahaya daripada bug di banyak aplikasi lain adalah karena browser dengan sengaja menghabiskan waktunya untuk mengambil konten dari mana saja dan di mana saja di internet.
Browser kemudian memproses file tidak tepercaya ini, yang disediakan dari jarak jauh oleh server web orang lain, mengonversinya menjadi konten yang dapat dilihat dan diklik, dan menampilkannya sebagai halaman web yang dapat Anda gunakan untuk berinteraksi.
Anda berharap browser Anda akan secara aktif memperingatkan Anda, dan secara eksplisit meminta izin, sebelum melakukan tindakan yang dianggap berbahaya, seperti mengaktifkan webcam, membaca file yang sudah tersimpan di perangkat Anda, atau menginstal perangkat lunak baru.
Namun Anda juga mengharapkan konten yang tidak dianggap berbahaya secara langsung, seperti gambar yang akan ditampilkan, video yang akan ditampilkan, file audio yang akan diputar, dan sebagainya, akan diproses dan disajikan kepada Anda secara otomatis.
Sederhananya, hanya mengunjungi halaman web seharusnya tidak menempatkan Anda pada risiko malware ditanamkan pada perangkat Anda, data Anda dicuri, kata sandi Anda diendus, kehidupan digital Anda terkena spyware, atau penyimpangan semacam itu.
Kecuali ada bug
Kecuali, tentu saja, ada bug di WebKit (atau mungkin beberapa bug yang dapat digabungkan secara strategis), sehingga hanya dengan menyiapkan file gambar, atau video, atau popup JavaScript yang sengaja dijebak, browser Anda dapat ditipu untuk melakukan sesuatu seharusnya tidak.
Jika penjahat dunia maya, atau penjual spyware, atau jailbreaker, atau layanan keamanan pemerintah yang tidak menyukai Anda, atau siapa pun yang memiliki kepentingan terburuk Anda, menemukan bug yang dapat dieksploitasi semacam ini, mereka mungkin dapat membahayakan keamanan dunia maya seluruh perangkat Anda…
…hanya dengan memikat Anda ke situs web yang tampak tidak bersalah yang seharusnya sangat aman untuk dikunjungi.
Yah, Apple baru saja menindaklanjuti tambalan Rapid Security Resonse terbarunya dengan pembaruan lengkap untuk semua produk yang didukungnya, dan di antara buletin keamanan untuk tambalan itu, kami akhirnya menemukan apa itu Tanggapan Cepat itu sana untuk memperbaiki.
Dua nol hari:
- CVE-2023-28204: WebKit. Pembacaan di luar batas telah diatasi dengan validasi masukan yang ditingkatkan. Memproses konten web dapat mengungkapkan informasi sensitif. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
- CVE-2023-32373: WebKit. Masalah penggunaan setelah bebas telah diatasi dengan manajemen memori yang ditingkatkan. Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Secara umum, ketika dua hari nol semacam ini muncul pada waktu yang sama di WebKit, ada kemungkinan bahwa mereka telah digabungkan oleh penjahat untuk membuat serangan pengambilalihan dua langkah.
Bug yang merusak memori dengan menimpa data yang tidak boleh disentuh (mis. CVE-2023-32373) selalu buruk, tetapi sistem operasi modern menyertakan banyak perlindungan runtime yang bertujuan untuk menghentikan eksploitasi bug tersebut untuk mengambil kendali program buggy.
Misalnya, jika sistem operasi secara acak memilih di mana program dan data berakhir di memori, penjahat dunia maya seringkali tidak dapat melakukan lebih dari merusak program yang rentan, karena mereka tidak dapat memprediksi bagaimana kode yang mereka serang diletakkan di memori. .
Tetapi dengan informasi yang tepat tentang di mana, eksploit yang kasar dan "crashtastic" kadang-kadang dapat diubah menjadi eksploitasi "crash-and-keep-control": apa yang dikenal dengan nama self-descriptive dari sebuah eksekusi kode jarak jauh lubang.
Tentu saja, bug yang memungkinkan penyerang membaca dari lokasi memori yang tidak seharusnya (misalnya CVE-2023-28204) tidak hanya dapat menyebabkan kebocoran data dan eksploitasi pencurian data secara langsung, tetapi juga secara tidak langsung menyebabkan “crash-and-keep- kontrol”, dengan mengungkapkan rahasia tentang tata letak memori di dalam program dan membuatnya lebih mudah untuk diambil alih.
Menariknya, ada zero-day ketiga yang ditambal dalam pembaruan terbaru, tetapi yang ini tampaknya tidak diperbaiki dalam Rapid Security Response.
- CVE-2023-32409: WebKit. Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan. Penyerang jarak jauh mungkin dapat keluar dari kotak pasir Konten Web. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Seperti yang dapat Anda bayangkan, menggabungkan tiga zero-day ini akan setara dengan home run bagi penyerang: bug pertama mengungkapkan rahasia yang diperlukan untuk mengeksploitasi bug kedua secara andal, dan bug kedua memungkinkan kode ditanamkan untuk mengeksploitasi bug ketiga. …
…pada saat itu, penyerang tidak hanya mengambil alih “taman bertembok” dari halaman web Anda saat ini, tetapi mengambil kendali atas seluruh browser Anda, atau lebih buruk lagi.
Apa yang harus dilakukan?
Pastikan Anda sudah ditambal! (Pergi ke Settings > Umum > Pembaruan perangkat lunak.)
Bahkan perangkat yang telah menerima Respons Keamanan Cepat pada awal Maret 2023 masih memiliki hari nol untuk ditambal.
Dan semua platform telah menerima banyak perbaikan keamanan lainnya untuk bug yang dapat dieksploitasi untuk serangan yang beragam seperti: melewati preferensi privasi; mengakses data pribadi dari layar kunci; membaca informasi lokasi Anda tanpa izin; memata-matai lalu lintas jaringan dari aplikasi lain; dan banyak lagi.
Setelah memperbarui, Anda akan melihat nomor versi berikut:
- jam tanganOS: sekarang di versi 9.5
- TVOS: sekarang di versi 16.5
- iOS 15 dan iPadOS 15: sekarang di versi 15.7.6
- iOS 16 dan iPadOS 16: sekarang di versi 16.5
- macOS Besar Sur: sekarang jam 11.7.7
- macOS Monterey: sekarang jam 12.6.6
- macOS Ventura: sekarang jam 13.4
Catatan penting: jika Anda memiliki macOS Big Sur atau macOS Monterey, tambalan WebKit yang sangat penting itu tidak dibundel dengan pembaruan versi sistem operasi tetapi disediakan dalam paket pembaruan terpisah yang disebut Safari 16.5.
Have fun!
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 1
- 15%
- 2023
- 7
- a
- Sanggup
- Tentang Kami
- Mutlak
- benar
- mengakses
- tindakan
- mengaktifkan
- aktif
- tujuan
- Semua
- memungkinkan
- sudah
- juga
- selalu
- an
- dan
- Apa pun
- siapapun
- di manapun
- aplikasi
- app store
- Apple
- aplikasi
- aplikasi
- ADALAH
- AS
- At
- menyerang
- Menyerang
- Serangan
- audio
- penulis
- mobil
- secara otomatis
- tersedia
- sadar
- background-image
- Buruk
- BE
- karena
- menjadi
- sebelum
- makhluk
- Bertaruh
- Besar
- batas
- Bawah
- Istirahat
- keluar
- Browser
- browser
- Bug
- bug
- dibundel
- tapi
- by
- bernama
- CAN
- pusat
- Cek
- Chrome
- khrom
- kode
- warna
- bergabung
- menggabungkan
- perusahaan
- komponen
- kompromi
- dianggap
- Konten
- kontrol
- mengubah
- Core
- bisa
- Tentu saja
- menutupi
- Crash
- membuat
- Penjahat
- kritis
- mentah
- terbaru
- Sekarang
- penjahat cyber
- Keamanan cyber
- Berbahaya
- gelap
- data
- kebocoran data
- transaksi
- deskripsi
- alat
- Devices
- MELAKUKAN
- digital
- langsung
- Membuka
- Display
- do
- Tidak
- melakukan
- Download
- e
- mudah
- Tepi
- akhir
- Mesin
- Seluruh
- Setara
- Setiap
- contoh
- eksekusi
- mengharapkan
- Mengeksploitasi
- dieksploitasi
- eksploitasi
- File
- File
- Akhirnya
- Pertama
- tetap
- diikuti
- berikut
- Untuk
- ditemukan
- dari
- Go
- akan
- baik
- Pemerintah
- Memiliki
- memiliki
- Hati
- tinggi
- Lubang
- Beranda
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- if
- gambar
- gambar
- membayangkan
- tersirat
- ditingkatkan
- in
- memasukkan
- tidak langsung
- informasi
- memasukkan
- Instalasi
- dengan sengaja
- berinteraksi
- kepentingan
- Internet
- ke
- diperkenalkan
- iPad
- iPadOS
- iPhone
- isu
- IT
- NYA
- JavaScript
- hanya
- kunci
- dikenal
- Terbaru
- Latest Update
- tata ruang
- memimpin
- meninggalkan
- Hidup
- 'like'
- tempat
- lokasi
- macos
- Membuat
- malware
- pengelolaan
- banyak
- March
- Margin
- max-width
- Mungkin..
- Memori
- hanya
- mobil
- telepon genggam
- modern
- lebih
- banyak
- nama
- dibutuhkan
- jaringan
- lalu lintas jaringan
- New
- bagus
- tidak
- normal
- sekarang
- jumlah
- nomor
- of
- sering
- on
- ONE
- hanya
- operasi
- sistem operasi
- sistem operasi
- or
- Lainnya
- jika tidak
- di luar
- lebih
- pemilik
- paket
- halaman
- password
- tambalan
- Patch
- paul
- Konsultan Ahli
- orang
- melakukan
- mungkin
- izin
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- dimainkan
- podcast
- Titik
- posisi
- Posts
- berpotensi
- perlu
- meramalkan
- preferensi
- mempersiapkan
- disajikan
- pribadi
- swasta
- proses
- pengolahan
- Produk
- program
- program
- Dorong
- menempatkan
- cepat
- Baca
- Bacaan
- alasan
- diterima
- terpencil
- render
- melaporkan
- Pelaporan
- permintaan
- membutuhkan
- tanggapan
- tanggapan
- mengungkapkan
- Mengungkapkan
- benar
- Risiko
- Run
- Safari
- aman
- sama
- bak pasir
- Kedua
- detik
- Rahasia
- keamanan
- melihat
- Penjual
- peka
- terpisah
- Layanan
- beberapa
- beberapa bug
- harus
- Menunjukkan
- ditunjukkan
- So
- Perangkat lunak
- padat
- sesuatu
- sumber
- berbicara
- menghabiskan
- spionase
- spyware
- awal
- Masih
- dicuri
- berhenti
- menyimpan
- tersimpan
- Secara strategis
- seperti itu
- dipasok
- Didukung
- Seharusnya
- SVG
- sistem
- sistem
- Mengambil
- pengambilalihan
- Dibutuhkan
- dari
- bahwa
- Grafik
- pencurian
- mereka
- Mereka
- kemudian
- Ini
- mereka
- Ketiga
- ini
- itu
- tiga
- Melalui
- waktu
- untuk
- puncak
- tersentuh
- lalu lintas
- transisi
- jelas
- Berbalik
- dua
- khas
- Memperbarui
- Pembaruan
- memperbarui
- URL
- menggunakan
- gunakan-setelah-bebas
- bekas
- Pengguna
- pengesahan
- versi
- sangat
- Video
- Video
- Mengunjungi
- Rentan
- adalah
- jam tangan
- Cara..
- we
- jaringan
- webcam
- perangkat web
- Situs Web
- minggu
- minggu
- BAIK
- adalah
- Apa
- ketika
- yang
- akan
- dengan
- tanpa
- lebih buruk
- terburuk
- akan
- kamu
- Anda
- zephyrnet.dll
![S3 Ep119: Pelanggaran, tambalan, kebocoran, dan penyesuaian! [Audio + Teks]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg)
![S3 Ep120: Ketika dud crypto tidak mau melepaskannya [Audio + Text]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png)
![S3 Ep117: Krisis kripto yang bukan (dan selamat tinggal selamanya untuk Menang 7) [Audio + Teks]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png)
