אפל מוציאה בשקט את עדכון האפס-יום האחרון שלה - מה עכשיו?

חוק הכותרות של Betteridge מתעקש שכל כותרת שמוצגת כשאלה ניתנת לתשובה מיידית ב"לא".

ככל הנראה, התיאוריה שמאחורי שנינות זו (זה לא למעשה חוק, ועדיין לא כלל, ואפילו לא למעשה שום דבר יותר מהצעה) היא שאם המחבר ידע על מה הם מדברים, והיו לו ראיות אמיתיות לתמוך בטענתו, הם היו כותבים את הכותרת כעובדה לא מדוללת.

ובכן, אנחנו לא עיתונאים כאן ב-Naked Security, אז למרבה המזל אנחנו לא מחויבים לחוק הזה.

התשובה חסרת הרחמים לשאלה שלנו בכותרת למעלה היא, "אף אחד לא יודע חוץ מאפל, ואפל לא אומרת."

תשובה טובה יותר אבל יש להודות באמצע הדרך היא, "חכה ותראה."

תגובות מהירות

הסיפור הזה התחיל מאוחר אתמול, בסוף 2023-06-10 שעון בריטניה, כאשר אנו בהתרגשות [האם אתה מתכוון "בהתרגשות?" – אד.] כתב ייעוץ על זה של אפל שני אי פעם תגובה אבטחה מהירה (RSR):

RSRs אלה הם, כמונו הסביר קודם, המאמצים של אפל לספק תיקוני חירום לבעיה בודדת, כפי שבדרך כלל עושים פרויקטי קוד פתוח מנוהלים היטב, כאשר תיקוני אפס-יום יוצאים לעתים קרובות תוך יום או יומיים לאחר מציאת בעיה, עם עדכונים-לעדכונים הבאים. מייד אם חקירות נוספות חושפות בעיות נוספות שיש לתקן.

אחת הסיבות לכך שפרויקטי קוד פתוח יכולים לנקוט בגישה כזו היא שהם בדרך כלל מספקים דף הורדה עם קוד המקור המלא של כל גרסה שפורסמה רשמית אי פעם, כך שאם אתה ממהר לאמץ את התיקונים האחרונים תוך שעות, ולא בימים או שבועות, והם לא מסתדרים, אין מניעה לחזור לגרסה הקודמת עד שהתיקון לתיקון יהיה מוכן.

עם זאת, מסלול השדרוג הרשמי של אפל, לפחות עבור המכשירים הניידים שלה, תמיד היה לספק תיקונים מלאים ברמת המערכת שלעולם לא ניתן להחזיר אותם לאחור, מכיוון שאפל לא אוהבת את הרעיון של משתמשים משדרגים את המערכות שלהם בכוונה לאחור כדי לנצל באגים ישנים במטרה לפרוץ את המכשירים שלהם או להתקין מערכות הפעלה חלופיות.

כתוצאה מכך, גם כאשר אפל ייצרה תיקוני חירום של באג אחד או שני באגים עבור חורים של יום אפס שכבר נוצלו באופן פעיל, החברה הייתה צריכה להמציא (והיית צריך לתת אמון בו) מה שהיה בעצם דרך אחת שדרוג, למרות שכל מה שאתה באמת צריך היה מינמליסטי עדכון לרכיב אחד של המערכת כדי לתקן סכנה ברורה ונוכחת.

היכנסו לתהליך RSR, מה שמאפשר תיקונים מהירים שתוכלו להתקין במהירות, שאינם דורשים מכם לקחת את הטלפון שלכם במצב לא מקוון למשך 15 עד 45 דקות של אתחולים חוזרים ונשנים, ושתוכלו להסיר מאוחר יותר (ולהתקין מחדש, ולהסיר, ו וכן הלאה) אם תחליט שהריפוי היה גרוע יותר מהמחלה.

באגים שתוקנו באופן זמני באמצעות RSR יתוקנו לצמיתות בשדרוג הגרסה המלאה הבאה...

...כדי ש-RSR לא יצטרכו או יקבלו מספר גרסה חדש לגמרי משלהם.

במקום זאת, הם מקבלים אות רצף מצורפת, כך שתגובת האבטחה המהירה הראשונה עבור iOS 16.5.1 (שיצאה אתמול) מוצגת ב- הגדרות > כללי > אודות as 16.5.1 ().

(אנחנו לא יודעים מה יקרה אם הרצף יעבור אי פעם (z), אבל נהיה מוכנים להמר קטן על התשובה היא (aa), או שאולי (za) אם המיון האלפביתי נחשב חשוב.)

הנה היום, נעלם מחר

בכל מקרה, רק כמה שעות קצרות לאחר שהמלצתי לכולם לקבל iOS ו-iPadOS 16.5.1 (א), מכיוון שהוא מתקן ניצול של יום אפס בקוד ה-WebKit של אפל ולכן כמעט בוודאות עלול להיות מנוצל לרעה עבור מגעילים של תוכנות זדוניות כגון השתלת תוכנות ריגול או חטיפה. נתונים פרטיים מהטלפון שלך...

... מגיבים (תודה מיוחדת לג'ון מייקל לסלי, אשר פורסם בדף הפייסבוק שלנו) התחילו לדווח שהעדכון כבר לא מופיע כשהם השתמשו הגדרות > כללי > עדכון תוכנה כדי לנסות לעדכן את המכשירים שלהם.

של אפל פורטל אבטחה עדיין מפרט [2023-07-11T15:00:00Z] את העדכונים האחרונים בתור macOS 13.4.1 (א) ו iOS/iPadOS 16.5.1 (א), מיום 2023-07-10, ללא הערות לגבי השעיה רשמית או לא.

אבל דיווחים דרך אתר MacRumors מציעים שהעדכונים בוטלו לעת עתה.

סיבה אחת מוצעת היא שדפדפן הספארי של אפל מזהה את עצמו כעת בבקשות אינטרנט עם מחרוזת User-Agent הכוללת את התוספת (a) במספר ה-Verion שלה.

הנה מה שראינו כשהפנינו את דפדפן הספארי המעודכן שלנו ב-iOS אל שקע TCP מאזין (מעוצב עם מעברי שורה כדי לשפר את הקריאות):

$ ncat -vv -l 9999 Ncat: גרסה 7.94 ( https://nmap.org/ncat ) Ncat: Listening on :::9999 Ncat: Listening on 0.0.0.0:9999 Ncat: חיבור מ-10.42.42.1. Ncat: חיבור מ-10.42.42.1:13337. GET / HTTP/1.1 מארח: 10.42.42.42:9999 שדרוג-לא מאובטח-בקשות: 1 קבל: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 כמו Mac OS X) AppleWebKit/605.1.15 (KHTML, כמו Gecko) Version/16.5.2 (א) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate חיבור: keep-alive NCAT DEBUG: סגירת Fd 5.

לפי כמה פרשני MacRumors, זה Version/ מחרוזת, המורכבת כפי שהיא מורכבת מהמספרים והנקודות הרגילים יחד עם טקסט מוזר ובלתי צפוי בסוגריים עגולים, מבלבלת כמה אתרים.

(למרבה האירוניה, נראה שהאתרים שראינו מאשימים במשחק הזה לכאורה-מחרוזת-מחרוזת-מטות-האשמה-כולם נראים שירותים שהגישה אליהם נפוצה הרבה יותר על ידי אפליקציות ייעודיות מאשר דרך דפדפן, אבל נראה שהתיאוריה היא שהם כנראה להיחנק מזה 16.5.2 (a) מזהה גרסה אם תחליט לבקר אותם עם גרסה מעודכנת של Safari.)

מה לעשות?

למען האמת, רק אפל יודעת מה קורה כאן, והיא לא אומרת. (לפחות, לא באופן רשמי דרך פורטל האבטחה שלו (HT201222) או שלה על תגובות אבטחה מהירות דף (HT201224.)

אנו מציעים, אם כבר יש לך את העדכון, שלא תסיר אותו אלא אם הוא באמת מפריע ליכולת שלך להשתמש בטלפון שלך עם אתרי האינטרנט או האפליקציות שאתה צריך לעבודה, או אלא אם מחלקת ה-IT שלך מורה לך במפורש לחזור אחורה. לטעם "לא (א)" של macOS, iOS או iPadOS.

אחרי הכל, עדכון זה נחשב מתאים לתגובה מהירה מכיוון שהניצול שהוא מתקן הוא חור בטבע, מבוסס דפדפן בביצוע קוד מרחוק (RCE).

אם אתה צריך או רוצה להסיר את ה-RSR, אתה יכול לעשות זאת:

• אם יש לך אייפון או אייפד. תיכנס לאתר הגדרות > כללי > אודות > גרסת iOS/iPadOS ולבחור הסר תגובת אבטחה.
• אם יש לך מק. תיכנס לאתר הגדרות מערכת > כללי > אודות ולאחר מכן לחץ על (i) סמל בסוף הפריט הזכאי macOS מגיע.

שים לב שהתקנו את ה-RSR מיד ב-macOS Ventura 13.4.1 ו-iOS 16.5.1, ולא נתקלנו בבעיות בגלישה אל המקומות הרגילים שלנו באינטרנט דרך Safari או Edge. (זכור שכל הדפדפנים משתמשים ב-WebKit במכשירים ניידים של אפל!)

לכן אין בכוונתנו להסיר את העדכון, ואיננו מוכנים לעשות זאת בניסוי, כי אין לנו מושג אם נוכל להתקין אותו מחדש לאחר מכן.

מגיבים הציעו שהתיקון פשוט לא מדווח כשהם מנסים ממכשיר שלא תוקן, אבל לא ניסינו לתקן מחדש מכשיר שתוקן בעבר כדי לראות אם זה נותן לך כרטיס קסם להביא את העדכון שוב.

פשוט שים:

• אם כבר הורדת את macOS 13.4.1 (א) או iOS/iPadOS 16.5.1 (א), שמור את העדכון אלא אם כן אתה לחלוטין צריך להיפטר ממנו, בהתחשב בכך שהוא מגן עליך מפני חור של אפס יום.
• אם התקנת אותו ובאמת צריך או רוצה להסיר אותו, ראה את ההוראות שלנו למעלה, אבל הנחה שלא תוכל להתקין אותו מחדש מאוחר יותר, ולכן תכניס את עצמך לקטגוריה השלישית למטה.
• אם עדיין לא קיבלת אותו, צפה בחלל הזה. אנחנו מנחשים ש- (a) תיקון יוחלף במהירות ב-a (b) תיקון, כי כל הרעיון של "העדכונים האותיים" הללו הוא שהם נועדו להיות תגובות מהירות. אבל רק אפל יודעת בוודאות.

נתקן את העצה הרגילה שלנו מאתמול באמירה: אל תעקב; עשה זאת ברגע שאפל והמכשיר שלך יאפשרו לך.

---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/