Apple Silently Pulls Its Latest Zero-day Update – What Now?

Opublikowane ponownie przez Plato

Obserwuje: 0

Prawo nagłówków Betteridge’a mówi, że na każdy nagłówek zadany jako pytanie można natychmiast odpowiedzieć prostym „nie”.

Najwyraźniej teoria kryjąca się za tym dowcipem (nie jest to właściwie Prawo, ani reguła, ani nawet w rzeczywistości nic więcej niż sugestia) jest taka, że gdyby autor wiedział, o czym mówi, i miał prawdziwe dowody na poparcie swojej tezy, napisaliby nagłówek jako nierozcieńczony fakt.

Cóż, nie jesteśmy dziennikarzami w Naked Security, więc na szczęście nie jesteśmy związani tym prawem.

Bezlitosna odpowiedź na nasze własne pytanie w powyższym nagłówku brzmi: „Nikt nie wie oprócz Apple, a Apple nie mówi”.

Lepszą, ale wprawdzie pośrednią odpowiedzią jest: "Poczekaj i zobacz."

.s-przycisk+.s-przycisk { margines lewy: .3125rem; } .s-button { przejście: wszystkie .15s liniowe; rozmiar czcionki: 875 rem; wysokość linii: 1.5; kolor: #f2f2f2; rodzina czcionek: SophosSansMedium, Helvetica Neue, Helvetica, Arial, bezszeryfowy; grubość czcionki: 400; styl czcionki: normalny; wyświetlacz: inline-block; wypełnienie: .3125rem 1.25rem; kursor: wskaźnik; wyrównanie tekstu: środek; dekoracja tekstu: brak; obramowanie: 1px stałe #005bc8; promień obramowania: 3px; kolor tła: #005bc8; cień tekstu: brak; } .s-button:hover { dekoracja tekstu: brak; kolor: #fff; kolor obramowania: #002d62; kolor tła: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !ważne; kolor obramowania: #fff; kolor tła: #fff; } .s-ad-sophos-mdr { rozmiar-czcionki: 1rem; wysokość linii: 1.5; kolor: #242629; rodzina czcionek: SophosSansRegular, Helvetica Neue, Helvetica, Arial, bezszeryfowy; grubość czcionki: 400; styl czcionki: normalny; pozycja: względna; maksymalna szerokość: 769px; margines: 15px auto; padding: 30px 30px 25px; przejście: box-shadow .25s sześcienny-bezier( .645, .045, .355, 1 ); wyrównanie tekstu: środek; kolor tła: #0d141d; powtarzanie w tle: bez powtórzeń; pozycja tła: 50%; rozmiar tła: okładka; cień pudełka: 0 0 0 0 0 przezroczysty; kolor tła: #005bc8; obraz tła: brak; pozycja tła: 0 0; } .s-ad-sophos-mdr__title { rozmiar-czcionki: 2rem; wysokość linii: 1.125; margines-dolny: 4px; kolor: #fff; } .s-ad-sophos-mdr__text { rodzina czcionek: SophosSansLight, Helvetica Neue, Helvetica, Arial, bezszeryfowa; grubość czcionki: 400; styl czcionki: normalny; rozmiar czcionki: 17px; kolor: #fff; } .s-ad-sophos-mdr__action { margines-górny: 15px; } .s-ad-sophos-mdr__akcja .s-przycisk { kolor: #fff; } .s-ad-sophos-mdr__link-wrapper { dekoracja-tekstu: brak; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { pozycja: bezwzględna; góra: 15px; prawy: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; szerokość: 64px; wysokość: 11px; wyrównanie w pionie: góra; powtarzanie w tle: bez powtórzeń; rozmiar tła: 64px 11px; } .s-ad-sophos-mdr__title { rodzina czcionek: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, bezszeryfowy; grubość czcionki: 400; styl czcionki: normalny; rozmiar czcionki: 28px; grubość czcionki: 700; wysokość linii: 1; margines-dolny: 10px; wyrównanie tekstu: do lewej; } .s-ad-sophos-mdr__title svg { maksymalna szerokość: 100%; } .s-ad-sophos-mdr__text { rozmiar-czcionki: 16px; wysokość linii: 1.25; wyrównanie tekstu: do lewej; } .s-ad-sophos-mdr__action { wyrównanie tekstu: prawo; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-szerokość:769px) { .s-ad-sophos-mdr__text { margines-prawy: 140px; } .s-ad-sophos-mdr__action { pozycja: bezwzględna; prawy: 30px; dół: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { rozmiar-czcionki: 1.625rem; } .s-ad-sophos-mdr__text { rozmiar-czcionki: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Szybkie odpowiedzi

Ta historia zaczęła się wczoraj późnym wieczorem, pod koniec 2023-06-10 czasu brytyjskiego, kiedy podekscytowani [masz na myśli „pobudliwie”? – wyd.] napisał poradnik o Apple drugi w historii Szybka reakcja bezpieczeństwa (RSR):

Te RSR są, jak my wyjaśniono wcześniej, Apple stara się dostarczać poprawki awaryjne dotyczące pojedynczych problemów tak szybko, jak zwykle dobrze zarządzane projekty open source, w przypadku których łatki typu zero-day często pojawiają się w ciągu jednego lub dwóch dni od wykrycia problemu, a aktualizacje aktualizacji następuje po niezwłocznie, jeśli dalsze dochodzenie wykaże dalsze problemy wymagające naprawy.

Jednym z powodów, dla których projekty open source mogą przyjąć tego rodzaju podejście, jest to, że zwykle udostępniają stronę pobierania z pełnym kodem źródłowym każdej oficjalnie wydanej wersji, więc jeśli spieszysz się z przyjęciem najnowszych poprawek, zajmuje to godziny, a nie dni lub tygodnie i nie działają, nie ma przeszkód, aby powrócić do poprzedniej wersji, dopóki poprawka za poprawkę nie będzie gotowa.

Jednak oficjalna ścieżka aktualizacji firmy Apple, przynajmniej w przypadku urządzeń mobilnych, zawsze polegała na dostarczaniu pełnych poprawek na poziomie systemu, których nigdy nie można cofnąć, ponieważ Apple nie podoba się pomysł użytkowników celowo obniżających własne systemy w celu wykorzystywać stare błędy w celu jailbreakowania własnych urządzeń lub instalowania alternatywnych systemów operacyjnych.

W rezultacie, nawet gdy Apple produkowało awaryjne poprawki jednego lub dwóch błędów dla luk dnia zerowego, które były już aktywnie wykorzystywane, firma musiała wymyślić (i trzeba było w to uwierzyć) coś, co zasadniczo było jednokierunkowa uaktualnienie, mimo że wszystko, czego naprawdę potrzebowałeś, to minimalizm aktualizacja do jednego komponentu systemu, aby załatać wyraźne i aktualne zagrożenie.

Wejdź w proces RSR, umożliwiając szybkie łatki, które możesz zainstalować w pośpiechu, które nie wymagają przełączania telefonu w tryb offline na 15 do 45 minut powtarzających się ponownych uruchomień i które możesz później usunąć (i ponownie zainstalować i usunąć, i itd.), jeśli zdecydujesz, że lekarstwo było gorsze od choroby.

Błędy załatane tymczasowo przez RSR zostaną załatane na stałe w następnej pełnej aktualizacji…

…aby RSR nie potrzebowały ani nie otrzymywały własnego numeru wersji.

Zamiast tego otrzymują dołączoną literę sekwencyjną, dzięki czemu pierwsza odpowiedź Rapid Security Response dla iOS 16.5.1 (która pojawiła się wczoraj) jest wyświetlana w Ustawienia > Ogólne > O nas as 16.5.1 (a).

(Nie wiemy, co się stanie, jeśli sekwencja kiedykolwiek minie (z), ale bylibyśmy skłonni postawić mały zakład, że odpowiedź brzmi (aa)lub może (za) jeśli sortowanie alfabetyczne jest uważane za ważne.)

Tu dzisiaj, jutro odszedł

W każdym razie, zaledwie kilka krótkich godzin po tym, jak doradziłem wszystkim, aby pobrali iOS i iPadOS 16.5.1 (a), ponieważ naprawia exploit dnia zerowego w kodzie WebKit firmy Apple i dlatego prawie na pewno może zostać wykorzystany do złośliwego oprogramowania, takiego jak wszczepianie oprogramowania szpiegującego lub przechwytywanie prywatne dane z telefonu…

…komentatorzy (specjalne podziękowania dla Johna Michaela Lesliego, który napisali na naszej stronie na Facebooku) zaczęli zgłaszać, że aktualizacja nie była już wyświetlana, kiedy używali Ustawienia > Ogólne > Aktualizacja oprogramowania aby spróbować zaktualizować swoje urządzenia.

Własność Apple portal bezpieczeństwa nadal wyświetla [2023-07-11T15:00:00Z] najnowsze aktualizacje jako macOS 13.4.1 (a) i iOS/iPadOS 16.5.1 (a), z dnia 2023-07-10, bez adnotacji o tym, czy zostały oficjalnie zawieszone, czy nie.

Ale Raporty za pośrednictwem strony MacRumors sugerują, że aktualizacje zostały na razie wycofane.

Jednym z sugerowanych powodów jest to, że przeglądarka Safari firmy Apple identyfikuje się teraz w żądaniach internetowych za pomocą ciągu User-Agent, który zawiera dodatek (a) w jego numerze wersji.

Oto, co zobaczyliśmy, gdy skierowaliśmy naszą zaktualizowaną przeglądarkę Safari na iOS na nasłuchujące gniazdo TCP (sformatowane z podziałem linii w celu poprawy czytelności):

$ ncat -vv -l 9999 Ncat: Wersja 7.94 ( https://nmap.org/ncat ) Ncat: Słuchanie na :::9999 Ncat: Słuchanie na 0.0.0.0:9999 Ncat: Połączenie z 10.42.42.1. Ncat: Połączenie z 10.42.42.1:13337. GET / HTTP/1.1 Host: 10.42.42.42:9999 Upgrade-Insecure-Requests: 1 Accept: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; procesor iPhone OS 16_5_1 jak Mac OS X) AppleWebKit/605.1.15 (KHTML, jak Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1 Akceptuj język: en-GB,en; q=0.9 Akceptuj-Kodowanie: gzip, deflate Połączenie: keep-alive NCAT DEBUG: Zamykanie fd 5.

Według niektórych komentatorów MacRumors, że Version/ string, składający się ze zwykłych liczb i kropek wraz z dziwnym i nieoczekiwanym tekstem w nawiasach okrągłych, wprowadza w błąd niektóre strony internetowe.

(Jak na ironię, wszystkie witryny, które widzieliśmy w tej pozornie grze polegającej na błędnym parsowaniu ciągów wersji, wydają się być usługami, które są znacznie częściej dostępne przez dedykowane aplikacje niż przez przeglądarkę, ale teoria wydaje się być taka, że najwyraźniej zadławić się tym 16.5.2 (a) identyfikator wersji, jeśli zdecydujesz się odwiedzić je ze zaktualizowaną wersją Safari.)

Co robić?

Ściśle mówiąc, tylko Apple wie, co się tutaj dzieje, i nie mówi. (Przynajmniej nie oficjalnie za pośrednictwem swojego portalu bezpieczeństwa (HT201222) lub jego Informacje o szybkich reakcjach bezpieczeństwa Strona (HT201224.)

Sugerujemy, jeśli masz już tę aktualizację, aby jej nie usuwać, chyba że rzeczywiście przeszkadza to w korzystaniu z telefonu z witrynami internetowymi lub aplikacjami potrzebnymi do pracy lub jeśli Twój własny dział IT wyraźnie nie zaleci wycofania zmian do „nie-(a)” smaku macOS, iOS lub iPadOS.

W końcu ta aktualizacja została uznana za odpowiednią do szybkiej reakcji, ponieważ naprawiany przez nią exploit to dzika dziura w zdalnym wykonaniu kodu (RCE) w przeglądarce.

Jeśli potrzebujesz lub chcesz usunąć RSR, możesz to zrobić:

Jeśli masz iPhone'a lub iPada. Iść do Ustawienia > Ogólne > O nas > Wersja iOS/iPadOS i wybierz Usuń odpowiedź bezpieczeństwa.
Jeśli masz Maca. Iść do Ustawienia systemowe > Ogólne > O nas i kliknij (i) ikona na końcu pozycji pt MacOS Ventura.

Zauważ, że od razu zainstalowaliśmy RSR na macOS Ventura 13.4.1 i iOS 16.5.1 i nie mieliśmy żadnych problemów z przeglądaniem naszych zwykłych miejsc w sieci za pośrednictwem Safari lub Edge. (Pamiętaj, że wszystkie przeglądarki używają WebKit na urządzeniach mobilnych Apple!)

Dlatego nie zamierzamy usuwać aktualizacji i nie chcemy tego robić eksperymentalnie, ponieważ nie mamy pojęcia, czy później będziemy mogli ją ponownie zainstalować.

Komentatorzy sugerowali, że łatka po prostu nie jest zgłaszana, gdy próbują z niezałatanego urządzenia, ale nie próbowaliśmy ponownie załatać wcześniej załatanego urządzenia, aby sprawdzić, czy daje to magiczny bilet do ponownego pobrania aktualizacji.

Po prostu:

Jeśli masz już pobrany system macOS 13.4.1 (a) lub iOS/iPadOS 16.5.1 (a), zachowaj aktualizację, chyba że absolutnie musisz się jej pozbyć, biorąc pod uwagę, że zabezpiecza cię przed dziurą dnia zerowego.
Jeśli zainstalowałeś go i naprawdę potrzebujesz lub chcesz go usunąć, zapoznaj się z naszymi instrukcjami powyżej, ale załóż, że później nie będziesz mógł go ponownie zainstalować i dlatego zostaniesz zaliczony do trzeciej kategorii poniżej.
Jeśli jeszcze go nie masz, obserwuj tę przestrzeń. Domyślamy się, że (a) łatka zostanie szybko zastąpiona przez a (b) patch, ponieważ cała idea tych „literowych aktualizacji” polega na tym, że mają one być szybką odpowiedzią. Ale tylko Apple wie na pewno.

Poprawimy naszą zwykłą wczorajszą radę, mówiąc: Nie opóźniaj; zrób to, gdy tylko Apple i Twoje urządzenie Ci na to pozwolą.