זכור את העדכון המכווץ אך הסופר מהיר של אפל נדחק לפני שלושה שבועות, בתאריך 2023-05-01?
העדכון הזה היה הראשון בגרסה החדשה של אפל תגובה אבטחה מהירה תהליך, לפיו החברה יכולה לדחוף טלאים קריטיים עבור רכיבי מערכת מפתח מבלי לעבור עדכון מערכת הפעלה בגודל מלא שלוקח אותך למספר גרסה חדש.
כפי שהרהרנו בפודקאסט Naked Securirty באותו שבוע:
אפל הציגה זה עתה "תגובות אבטחה מהירות". אנשים מדווחים שלוקח להם שניות להוריד ודורשים אתחול מהיר אחד. [אבל] לגבי היותם קשוחים [על העדכון], הם מכווצים. ממש אין מידע על מה מדובר. אבל זה היה נחמד ומהיר!
טוב לחלק
לרוע המזל, תגובות האבטחה המהירות החדשות הללו היו זמינות רק עבור הגרסה העדכנית ביותר של macOS (כיום Ventura) ו-iOS/iPadOS העדכניים ביותר (כרגע בגרסה 16), שהשאירו משתמשים של מחשבי Mac ו-iDevices ישנים יותר, כמו גם בעלים של Apple Watches וטלוויזיות אפל, בחושך.
התיאור של אפל של התיקונים המהירים החדשים רמז שהם בדרך כלל מתמודדים עם באגים של יום אפס שהשפיעו על תוכנות ליבה כמו דפדפן ספארי ו-WebKit, שהוא מנוע העיבוד האינטרנטי שבו כל דפדפן מחויב להשתמש במכשירי אייפון ואייפד.
מבחינה טכנית, אתה יכול ליצור אפליקציית דפדפן לאייפון או אייפד שהשתמשה במנוע Chromium, כפי שעושים Chrome ו-Edge, או במנוע Gecko, כפי שעושים הדפדפנים של מוזילה, אבל אפל לא תכניס אותו ל-App Store אם תעשה זאת.
ומכיוון ש-App Store היא מקור ה"גן המוקף חומה" היחיד של אפליקציות למכשירים הניידים של אפל, זהו זה: זו הדרך של WebKit, או לא.
הסיבה שבאגים קריטיים של WebKit נוטים להיות מסוכנים יותר מבאגים ביישומים רבים אחרים היא שדפדפנים מבזבזים את זמנם באופן מכוון בהבאת תוכן מכל מקום ומכל מקום באינטרנט.
לאחר מכן דפדפנים מעבדים את הקבצים הלא מהימנים הללו, המסופקים מרחוק על ידי שרתי אינטרנט של אנשים אחרים, ממירים אותם לתוכן הניתן לצפייה, הניתן ללחיצה, ומציגים אותם כדפי אינטרנט שאתה יכול ליצור איתם אינטראקציה.
אתה מצפה שהדפדפן שלך יזהיר אותך באופן פעיל ויבקש רשות במפורש לפני ביצוע פעולות שנחשבות בפוטנציה למסוכנות, כגון הפעלת מצלמת האינטרנט שלך, קריאה בקבצים שכבר מאוחסנים במכשיר שלך או התקנת תוכנה חדשה.
אבל אתה גם מצפה שתוכן שאינו נחשב מסוכן ישירות, כגון תמונות שיוצגו, סרטונים שיוצגו, קובצי אודיו יושמעו וכן הלאה, יעובד ויוצג בפניך באופן אוטומטי.
במילים פשוטות, סתם ביקור דף אינטרנט לא אמור לסכן אותך שתושתל תוכנות זדוניות במכשיר שלך, גניבת הנתונים שלך, סיסמאותיך ריחחו, החיים הדיגיטליים שלך יהיו נתונים לתוכנות ריגול או כל פגיעה מסוג זה.
אלא אם כן יש באג
אלא אם כן, כמובן, יש באג ב-WebKit (או אולי כמה באגים שניתן לשלב אסטרטגית), כך שרק על ידי הכנת קובץ תמונה ממולכד בכוונה, או וידאו, או חלון קופץ של JavaScript, הדפדפן שלך עלול להוליך שולל לעשות משהו זה לא אמור.
אם פושעי סייבר, או מוכרי תוכנות ריגול, או פורצי כלא, או שירותי אבטחה של ממשלה שלא מחבבת אותך, או בעצם כל מי שיש לו האינטרסים הגרועים ביותר שלך בלב, חושפים באג מסוג זה שניתן לניצול, ייתכן שהם יוכלו לסכן את אבטחת הסייבר של כל המכשיר שלך...
...פשוט על ידי פיתוי לאתר בעל מראה תמים אחרת שאמור להיות בטוח לחלוטין לבקר בו.
ובכן, אפל פשוט עקבה אחר תיקוני ה-Rapid Security Resone האחרונים שלה עם עדכונים מלאים עבור כל המוצרים הנתמכים שלה, ובין עלוני האבטחה של התיקונים האלה, סוף סוף גילינו מה היו התגובות המהירות האלה שם כדי לתקן.
יומיים אפס:
- CVE-2023-28204: WebKit. קריאה מחוץ לתחום טופלה עם אימות קלט משופר. עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש. אפל מודעת לדיווח שייתכן שהבעיה הזו נוצלה באופן פעיל.
- CVE-2023-32373: WebKit. טופלה בעיה שלאחר שימוש ללא שימוש בניהול זיכרון משופר. עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לביצוע קוד שרירותי. אפל מודעת לדיווח שייתכן שהבעיה הזו נוצלה באופן פעיל.
באופן כללי, כאשר שני ימי אפס מהסוג הזה מופיעים בו-זמנית ב-WebKit, זה הימור טוב שהם שולבו על ידי פושעים כדי ליצור מתקפת השתלטות בשני שלבים.
באגים המשחיתים את הזיכרון על ידי החלפת נתונים שאסור לגעת בהם (למשל CVE-2023-32373) הם תמיד גרועים, אבל מערכות הפעלה מודרניות כוללות הגנות רבות בזמן ריצה שמטרתן למנוע ניצול באגים כאלה כדי להשתלט על תוכנית הבאגי.
לדוגמה, אם מערכת ההפעלה בוחרת באקראי היכן תוכניות ונתונים מגיעים לזיכרון, פושעי סייבר לא יכולים לעשות הרבה יותר מאשר לקרוס את התוכנית הפגיעה, מכיוון שהם לא יכולים לחזות כיצד הקוד שהם תוקפים מונח בזיכרון .
אבל עם מידע מדויק על מה נמצא, ניצול גס, "התרסקות" יכול לפעמים להפוך לניצול של "התרסקות ושמירה על שליטה": מה שידוע בשם המתאר את עצמו של ביצוע קוד מרחוק חור.
כמובן, באגים המאפשרים לתוקפים לקרוא ממיקומי זיכרון שהם לא אמורים (למשל CVE-2023-28204) יכולים לא רק להוביל ישירות לדליפת נתונים ולניצול של גניבת נתונים, אלא גם להוביל בעקיפין ל"התרסקות-ושמירה- control” התקפות, על ידי חשיפת סודות על פריסת הזיכרון בתוך תוכנית והקלה על ההשתלטות.
באופן מסקרן, יש תיקון שלישי של יום אפס בעדכונים האחרונים, אבל זה כנראה לא תוקן בתגובת האבטחה המהירה.
- CVE-2023-32409: WebKit. הבעיה טופלה באמצעות בדיקות גבולות משופרות. ייתכן שתוקף מרוחק יוכל לפרוץ מארגז החול של תוכן אינטרנט. אפל מודעת לדיווח שייתכן שהבעיה הזו נוצלה באופן פעיל.
כפי שאתה יכול לדמיין, שילוב של שלושת ימי האפס הללו יהיה שווה ערך לריצה ביתית לתוקף: הבאג הראשון חושף את הסודות הדרושים לניצול מהימן של הבאג השני, והבאג השני מאפשר להשתיל קוד כדי לנצל את השלישי …
...בשלב זה, התוקף לא רק השתלט על "הגן המוקף חומה" של דף האינטרנט הנוכחי שלך, אלא תפס את השליטה בכל הדפדפן שלך, או גרוע מכך.
מה לעשות?
ודא שאתה טלאי! (לך ל הגדרות > כללי > עדכון תוכנה.)
אפילו למכשירים שכבר קיבלו תגובת אבטחה מהירה בתחילת מרץ 2023, יש עוד אפס יום לתיקון.
וכל הפלטפורמות קיבלו תיקוני אבטחה רבים אחרים עבור באגים שניתן לנצל עבור התקפות מגוונות כמו: עקיפת העדפות פרטיות; גישה לנתונים פרטיים ממסך הנעילה; קריאת פרטי המיקום שלך ללא רשות; ריגול אחר תעבורת רשת מיישומים אחרים; ועוד.
לאחר העדכון, אתה אמור לראות את מספרי הגרסה הבאים:
- watchOS: עכשיו בגרסה 9.5
- tvOS: עכשיו בגרסה 16.5
- iOS 15 ו- iPadOS 15: עכשיו בגרסה 15.7.6
- iOS 16 ו- iPadOS 16: עכשיו בגרסה 16.5
- macOS Big Sur: עכשיו ב 11.7.7
- macOS מונטריי: עכשיו ב 12.6.6
- macOS Ventura: עכשיו ב 13.4
הערה חשובה: אם יש לך macOS Big Sur או macOS Monterey, תיקוני ה-WebKit הכל כך חשובים אינם מצורפים לעדכון גרסת מערכת ההפעלה אלא מסופקים בחבילת עדכון נפרדת בשם ספארי 16.5.
תיהני!
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 15%
- 2023
- 7
- a
- יכול
- אודות
- מוּחלָט
- בהחלט
- גישה
- פעולות
- מפעילה
- באופן פעיל
- המטרה
- תעשיות
- מאפשר
- כְּבָר
- גם
- תמיד
- an
- ו
- כל
- כל אחד
- בְּכָל מָקוֹם
- האפליקציה
- חנות האפליקציות
- תפוח עץ
- יישומים
- אפליקציות
- ARE
- AS
- At
- לתקוף
- תוקפים
- המתקפות
- אודיו
- מחבר
- המכונית
- באופן אוטומטי
- זמין
- מודע
- רקע תמונה
- רע
- BE
- כי
- היה
- לפני
- להיות
- להמר
- גָדוֹל
- גבול
- תַחתִית
- לשבור
- לפרוץ
- דפדפן
- דפדפנים
- חרק
- באגים
- ארוז
- אבל
- by
- נקרא
- CAN
- מרכז
- בדיקות
- Chrome
- כרום
- קוד
- צֶבַע
- משולב
- שילוב
- חברה
- רכיבים
- פשרה
- נחשב
- תוכן
- לִשְׁלוֹט
- להמיר
- ליבה
- יכול
- קורס
- לכסות
- להתרסק
- לִיצוֹר
- פושעים
- קריטי
- גס
- נוֹכְחִי
- כיום
- עברייני אינטרנט
- אבטחת סייבר
- מסוכן
- כהה
- נתונים
- דליפת מידע
- עסקה
- תיאור
- מכשיר
- התקנים
- DID
- דיגיטלי
- ישירות
- לחשוף
- לְהַצִיג
- do
- לא
- עושה
- להורדה
- e
- קל יותר
- אדג '
- סוף
- מנוע
- שלם
- שווה
- כל
- דוגמה
- הוצאת להורג
- לצפות
- לנצל
- ומנוצל
- מעללים
- שלח
- קבצים
- בסופו של דבר
- ראשון
- קבוע
- בעקבות
- הבא
- בעד
- מצא
- החל מ-
- Go
- הולך
- טוב
- ממשלה
- יש
- יש
- לֵב
- גובה
- חור
- עמוד הבית
- לרחף
- איך
- HTTPS
- if
- תמונה
- תמונות
- תמונה
- מְרוּמָז
- משופר
- in
- לכלול
- בעקיפין
- מידע
- קלט
- התקנה
- בכוונה
- אינטראקציה
- אינטרסים
- אינטרנט
- אל תוך
- הציג
- iPad
- iPad
- iPhone
- סוגיה
- IT
- שֶׁלָה
- JavaScript
- רק
- מפתח
- ידוע
- האחרון
- העדכונים האחרונים
- מערך
- עוֹפֶרֶת
- עזבו
- החיים
- כמו
- מיקום
- מקומות
- MacOS
- עשייה
- תוכנות זדוניות
- ניהול
- רב
- צעדה
- שולים
- max-width
- מאי..
- זכרון
- רק
- סלולרי
- מכשירים ניידים
- מודרני
- יותר
- הרבה
- שם
- נחוץ
- רשת
- תנועת רשת
- חדש
- נחמד
- לא
- נוֹרמָלִי
- עַכשָׁיו
- מספר
- מספרים
- of
- לעתים קרובות
- on
- ONE
- רק
- פועל
- מערכת הפעלה
- מערכות הפעלה
- or
- אחר
- אַחֶרֶת
- הַחוּצָה
- יותר
- בעלי
- חבילה
- עמוד
- סיסמאות
- תיקון
- טלאים
- פול
- אֲנָשִׁים
- אנשיו של
- ביצוע
- אוּלַי
- רשות
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- שיחק
- פודקאסט
- נקודה
- עמדה
- הודעות
- פוטנציאל
- צורך
- לחזות
- העדפות
- העריכה
- מוצג
- פְּרָטִיוּת
- פְּרָטִי
- תהליך
- תהליך
- מוצרים
- תָכְנִית
- תוכניות
- דחוף
- גם
- מהיר
- חומר עיוני
- קריאה
- טעם
- קיבלו
- מרחוק
- טיוח
- לדווח
- דווח
- לבקש
- לדרוש
- תגובה
- תגובות
- חושף
- מגלה
- תקין
- הסיכון
- הפעלה
- ספארי
- בטוח
- אותו
- ארגז חול
- שְׁנִיָה
- שניות
- סוד
- אבטחה
- לִרְאוֹת
- סלרס
- רגיש
- נפרד
- שירותים
- כמה
- מספר באגים
- צריך
- לְהַצִיג
- הראה
- So
- תוכנה
- מוצק
- משהו
- מָקוֹר
- מדבר
- לבלות
- ריגול
- תוכנות ריגול
- התחלה
- עוד
- גָנוּב
- עצור
- חנות
- מאוחסן
- מבחינה אסטרטגית
- כזה
- שסופק
- נתמך
- אמור
- SVG
- מערכת
- מערכות
- לקחת
- השתלטות
- לוקח
- מֵאֲשֶׁר
- זֶה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- אז
- אלה
- הֵם
- שְׁלִישִׁי
- זֶה
- אלה
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- חלק עליון
- נגע
- תְנוּעָה
- מַעֲבָר
- שָׁקוּף
- הסתובב
- שתיים
- בדרך כלל
- עדכון
- עדכונים
- עדכון
- כתובת האתר
- להשתמש
- שימוש לאחר חינם
- מְשׁוּמָשׁ
- משתמשים
- אימות
- גרסה
- מאוד
- וִידֵאוֹ
- וידאו
- לְבַקֵר
- פגיע
- היה
- שעונים
- דֶרֶך..
- we
- אינטרנט
- מצלמת
- ערכת רשת
- אתר
- שבוע
- שבועות
- טוֹב
- היו
- מה
- מתי
- אשר
- יצטרך
- עם
- לְלֹא
- גרוע יותר
- גרוע
- היה
- אתה
- זפירנט
![S3 Ep119: פריצות, טלאים, דליפות ותיקונים! [אודיו + טקסט]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg)
![S3 Ep120: כאשר dud crypto פשוט לא מרפה [אודיו + טקסט]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png)
![S3 Ep117: משבר הקריפטו שלא היה (ופרידה לנצח מ-Win 7) [אודיו + טקסט]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png)
