Apple が行った、簡単ではあるが超高速のアップデートを思い出してください。 XNUMX週間前に押し出された、2023年05月01日?
このアップデートは、Apple の新しい機能の最初のものでした。 迅速なセキュリティ対応 このプロセスにより、同社は新しいバージョン番号に移行するフルサイズのオペレーティング システムのアップデートを行わずに、主要なシステム コンポーネントの重要なパッチをプッシュできるようになります。
その週の Naked Security ポッドキャストで私たちは次のように考えました。
Apple は「Rapid Security Response」を導入したばかりです。 ダウンロードには数秒かかり、非常に短い再起動が XNUMX 回必要になると報告されています。 [しかし][アップデートについて]口が堅いことに関しては、彼らは口を閉ざしている。 それが何についてのものであったかについてはまったく情報がありません。 でも早くてよかったです!
一部の人には良い
残念ながら、これらの新しい Rapid Security Response は、最新バージョンの macOS (現在 Ventura) と最新の iOS/iPadOS (現在バージョン 16) でのみ利用可能でした。そのため、古い Mac や iDevice のユーザー、および Apple Watch の所有者は残されました。そして暗闇の中でApple TV。
新しい迅速パッチに関する Apple の説明では、通常、Safari ブラウザや、iPhone や iPad ですべてのブラウザが使用を義務付けられている Web レンダリング エンジンである WebKit などのコア ソフトウェアに影響を与えるゼロデイ バグに対処することが暗示されていました。
技術的には、Chrome や Edge のような Chromium エンジン、または Mozilla のブラウザのような Gecko エンジンを使用する iPhone または iPad のブラウザ アプリを作成することはできますが、それを作成した場合、Apple はそれを App Store に登録することを許可しません。
そして、App Store は Apple のモバイル デバイス用アプリの唯一の「壁に囲まれた庭園」ソースであるため、それが WebKit のやり方であるか、そうではないということです。
WebKit の重大なバグが他の多くのアプリケーションのバグよりも危険である傾向がある理由は、ブラウザーがインターネット上のあらゆる場所からコンテンツを取得するために非常に意図的に時間を費やしているためです。
次に、ブラウザは、他の人の Web サーバーによってリモートで提供されたこれらの信頼できないファイルを処理し、表示可能でクリック可能なコンテンツに変換し、操作できる Web ページとして表示します。
Web カメラのアクティブ化、デバイスに既に保存されているファイルの読み取り、新しいソフトウェアのインストールなど、潜在的に危険と考えられるアクションを実行する前に、ブラウザーが積極的に警告し、明示的に許可を要求することを期待します。
ただし、表示される画像、表示されるビデオ、再生されるオーディオ ファイルなど、直接的に危険とはみなされないコンテンツも自動的に処理され、表示されることも期待されます。
簡単に言えば、単に 訪問 Web ページは、デバイスにマルウェアが埋め込まれたり、データが盗まれたり、パスワードが盗み見されたり、デジタル ライフがスパイウェアにさらされたり、またはその種の不正行為にさらされる危険にさらされるべきではありません。
バグがなければ
もちろん、WebKit にバグ (あるいは戦略的に組み合わされたいくつかのバグ) が存在しない限り、意図的にブービートラップされた画像ファイル、ビデオ、または JavaScript ポップアップを準備するだけで、ブラウザがだまされて何かを実行する可能性があります。そうすべきではありません。
サイバー犯罪者、スパイウェア販売者、脱獄者、またはあなたを嫌っている政府のセキュリティ サービス、または実際にあなたにとって最悪の利益を心から考えている人がこの種の悪用可能なバグを発見した場合、サイバーセキュリティを侵害できる可能性があります。デバイス全体の…
…アクセスするのに完全に安全であるはずの、一見無害に見える Web サイトにあなたを誘導するだけです。
さて、Apple は、最新の Rapid Security Resonse パッチをフォローアップし、サポートされているすべての製品の完全なアップデートを行ったところですが、それらのパッチのセキュリティ情報の中で、その Rapid Response が何であったのかがついに判明しました。 修正するためにそこにあります.
XNUMX つのゼロデイ:
- CVE-2023-28204: WebKit。 入力検証を改善することで、境界外の読み取りに対処しました。 Web コンテンツを処理すると、機密情報が漏洩する可能性があります。 Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。
- CVE-2023-32373: WebKit。 解放後の使用の問題は、メモリ管理を改善することで解決されました。 悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります。 Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。
一般に、この種の XNUMX つのゼロデイが WebKit で同時に出現した場合、犯罪者によってそれらが組み合わされて XNUMX 段階の乗っ取り攻撃が行われたと考えられます。
触れるべきではないデータを上書きしてメモリを破壊するバグ (CVE-2023-32373 など) は常に悪いものですが、最新のオペレーティング システムには、そのようなバグが悪用されてバグのあるプログラムを制御することを阻止することを目的とした多くのランタイム保護機能が含まれています。
たとえば、オペレーティング システムがプログラムとデータがメモリ内のどこに配置されるかをランダムに選択する場合、サイバー犯罪者は、攻撃しているコードがメモリ内でどのように配置されるかを予測できないため、脆弱なプログラムをクラッシュさせること以上のことはできないことがよくあります。 。
しかし、何がどこにあるかについての正確な情報があれば、粗雑で「クラッシュな」エクスプロイトが「クラッシュして制御を維持する」エクスプロイトに変わることがあります。 リモートコード実行 穴。
もちろん、攻撃者が想定外のメモリ位置から読み取ることを可能にするバグ (CVE-2023-28204 など) は、データ漏洩やデータ盗難のエクスプロイトに直接つながるだけでなく、間接的に「クラッシュ アンド キープ」を引き起こす可能性があります。 「control」攻撃は、プログラム内のメモリレイアウトに関する秘密を明らかにし、乗っ取りを容易にすることによって行われます。
興味深いことに、最新のアップデートには XNUMX 番目のゼロデイ パッチが適用されていますが、これは Rapid Security Response では修正されていないようです。
- CVE-2023-32409: WebKit。 この問題は、境界チェックを改善することで解決されました。 リモートの攻撃者が Web コンテンツ サンドボックスを突破できる可能性があります。 Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。
ご想像のとおり、これら XNUMX つのゼロデイを組み合わせることは、攻撃者にとってホームランに相当します。最初のバグは XNUMX 番目のバグを確実に悪用するために必要な秘密を明らかにし、XNUMX 番目のバグにより XNUMX 番目のバグを悪用するコードの埋め込みを可能にします。 …
…その時点で、攻撃者は現在の Web ページの「壁に囲まれた庭園」を乗っ取っただけでなく、ブラウザ全体、あるいはさらに悪いことに、制御権を掌握したことになります。
何をするか?
パッチが適用されていることを確認してください。 (へ行く 設定 > > ソフトウェアの更新。)
2023 年 XNUMX 月初めにすでに Rapid Security Response を受け取ったデバイスであっても、パッチが適用されるゼロデイはまだ残っています。
また、すべてのプラットフォームには、プライバシー設定のバイパスなど、さまざまな攻撃に悪用される可能性のあるバグに対する他の多くのセキュリティ修正が施されています。 ロック画面から個人データにアクセスする。 あなたの位置情報を許可なく読み取る; 他のアプリからのネットワークトラフィックをスパイします。 もっと。
更新後、次のバージョン番号が表示されるはずです。
- ウォッチOS: 現在のバージョン 9.5
- tvOS: 現在のバージョン 16.5
- iOS15およびiPadOS15: 現在のバージョン 15.7.6
- iOS16およびiPadOS16: 現在のバージョン 16.5
- macOS Big Sur: 今すぐ 11.7.7
- macOS モントレー: 今すぐ 12.6.6
- macOS ベンチュラ: 今すぐ 13.4
重要な注意: macOS Big Sur または macOS Monterey を使用している場合、これらの非常に重要な WebKit パッチはオペレーティング システムのバージョン アップデートにはバンドルされていませんが、と呼ばれる別のアップデート パッケージで提供されます。 サファリ16.5.
楽しんでください!
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/
- :持っている
- :は
- :not
- :どこ
- $UP
- 1
- 視聴者の38%が
- 2023
- 7
- a
- できる
- 私たちについて
- 絶対の
- 絶対に
- アクセス
- 行動
- 活性化する
- 積極的に
- 目指す
- すべて
- ことができます
- 既に
- また
- 常に
- an
- &
- どれか
- 誰も
- どこにでも
- アプリ
- アプリストア
- Apple
- アプリ
- です
- AS
- At
- 攻撃
- 攻撃
- 攻撃
- オーディオ
- 著者
- オート
- 自動的に
- 利用できます
- 知って
- 背景画像
- 悪い
- BE
- なぜなら
- き
- さ
- 賭ける
- ビッグ
- 国境
- ボトム
- ブレーク
- 取り出す
- ブラウザ
- ブラウザ
- バグ
- バグ
- バンドル
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼ばれます
- 缶
- センター
- 小切手
- クロム
- クロム
- コード
- カラー
- 組み合わせた
- 結合
- 会社
- コンポーネント
- 妥協
- 見なさ
- コンテンツ
- コントロール
- 変換
- 基本
- 可能性
- ここから
- カバー
- Crash
- 作ります
- 犯罪者
- 重大な
- 原油
- 電流プローブ
- 現在
- サイバー犯罪者
- サイバーセキュリティ
- 危険な
- 暗いです
- データ
- データ漏洩
- 取引
- 説明
- デバイス
- Devices
- DID
- デジタル
- 直接に
- 開示する
- ディスプレイ
- do
- そうではありません
- すること
- ダウンロード
- e
- 容易
- エッジ(Edge)
- end
- エンジン
- 全体
- 同等の
- あらゆる
- 例
- 実行
- 期待する
- 悪用する
- 搾取
- エクスプロイト
- File
- 最後に
- 名
- 固定の
- 続いて
- フォロー中
- 発見
- から
- Go
- 行く
- 良い
- 政府・公共機関
- 持ってる
- 持って
- ハート
- 高さ
- ホール
- ホーム
- ホバー
- 認定条件
- HTTPS
- if
- 画像
- 画像
- 絵
- 暗黙の
- 改善されました
- in
- include
- 間接的に
- 情報
- インストールする
- 故意に
- 対話
- 利益
- インターネット
- に
- 導入
- iPad
- iPadOS
- iPhone
- 問題
- IT
- ITS
- JavaScriptを
- ただ
- キー
- 既知の
- 最新の
- 最新のアップデート
- レイアウト
- つながる
- 左
- 生活
- ような
- 場所
- 場所
- MacOSの
- 作成
- マルウェア
- 管理
- 多くの
- 3月
- マージン
- 最大幅
- 五月..
- メモリ
- 単に
- モバイル
- モバイルデバイス
- モダン
- 他には?
- ずっと
- 名
- 必要とされる
- ネットワーク
- ネットワークトラフィック
- 新作
- nice
- いいえ
- 通常の
- 今
- 数
- 番号
- of
- 頻繁に
- on
- ONE
- の
- オペレーティング
- オペレーティングシステム
- OS
- or
- その他
- さもないと
- でる
- が
- 所有者
- パッケージ
- ページ
- パスワード
- パッチ
- パッチ
- Paul Cairns
- のワークプ
- 人々の
- 実行
- おそらく
- 許可
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 演奏
- ポッドキャスト
- ポイント
- 位置
- 投稿
- :
- 正確な
- 予測する
- プ
- 準備中
- PLM platform.
- プライバシー
- プライベート
- プロセス
- 処理
- 製品
- 演奏曲目
- プログラム
- プッシュ
- 置きます
- 急速な
- 読む
- リーディング
- 理由
- 受け
- リモート
- レンダリング
- レポート
- 各種レポート作成
- 要求
- 必要とする
- 応答
- 回答
- 明らかにする
- 明らかに
- 右
- リスク
- ラン
- Safari
- 安全な
- 同じ
- サンドボックス
- 二番
- 秒
- 秘密
- セキュリティ
- 販売
- 敏感な
- 別
- サービス
- いくつかの
- いくつかのバグ
- すべき
- 表示する
- 示す
- So
- ソフトウェア
- 固体
- 何か
- ソース
- 話す
- 過ごす
- スパイ
- スパイウェア
- start
- まだ
- 盗まれました
- Force Stop
- 店舗
- 保存され
- 戦略的に
- そのような
- 供給
- サポート
- 想定
- SVG
- システム
- 取る
- 乗っ取り
- 取り
- より
- それ
- 盗難
- アプリ環境に合わせて
- それら
- その後
- ボーマン
- 彼ら
- 三番
- この
- それらの
- 三
- 介して
- 時間
- 〜へ
- top
- 触れ
- トラフィック
- 遷移
- トランスペアレント
- オン
- 2
- 一般的に
- アップデイト
- 更新版
- 更新
- URL
- つかいます
- 使用-後フリー
- 中古
- users
- バージョン
- 非常に
- ビデオ
- 動画
- 訪問
- 脆弱な
- ました
- ウオッチ
- 仕方..
- we
- ウェブ
- ウェブカメラ
- ウェブキット
- ウェブサイト
- 週間
- ウィークス
- WELL
- した
- この試験は
- いつ
- which
- 意志
- 無し
- もっと悪い
- 最悪
- でしょう
- 貴社
- あなたの
- ゼファーネット