Sekret Apple wyszedł na jaw: naprawiono 3 dni zerowe, więc pamiętaj o zainstalowaniu łatki już teraz!

Pamiętaj o zapinanej na suwak, ale superszybkiej aktualizacji Apple wypchnięty trzy tygodnie temu, w dniu 2023-05-01?

Ta aktualizacja była pierwszą w nowomodnym Apple Szybka reakcja bezpieczeństwa proces, w ramach którego firma może wypuszczać krytyczne poprawki dla kluczowych składników systemu bez przechodzenia przez pełnowymiarową aktualizację systemu operacyjnego, która prowadzi do nowego numeru wersji.

Jak zastanawialiśmy się w tym tygodniu w podcaście Naked Securirty:

Firma Apple właśnie wprowadziła „Szybką reakcję bezpieczeństwa”. Ludzie zgłaszają, że pobieranie zajmuje kilka sekund i wymaga jednego superszybkiego ponownego uruchomienia. [Ale] jeśli chodzi o bycie małomównym [w sprawie aktualizacji], są zaciśnięci. Kompletny brak informacji o co chodziło. Ale było miło i szybko!

Dobre dla niektórych

Niestety, te nowe szybkie reakcje bezpieczeństwa były dostępne tylko dla najnowszej wersji systemu macOS (obecnie Ventura) i najnowszego systemu iOS/iPadOS (obecnie w wersji 16), co pozostawiło użytkowników starszych komputerów Mac i urządzeń iDevices, a także posiadaczy zegarków Apple. i Apple TV, w ciemności.

Opis nowych, szybkich poprawek Apple sugerował, że zwykle zajmują się one błędami dnia zerowego, które miały wpływ na podstawowe oprogramowanie, takie jak przeglądarka Safari i WebKit, czyli silnik renderujący strony internetowe, z którego każda przeglądarka jest zobowiązana korzystać na iPhone'ach i iPadach.

Technicznie rzecz biorąc, możesz stworzyć aplikację przeglądarki na iPhone'a lub iPada, która korzystałaby z silnika Chromium, tak jak robią to Chrome i Edge, lub silnika Gecko, jak robią to przeglądarki Mozilli, ale Apple nie wpuściłby jej do App Store, gdybyś to zrobił.

A ponieważ App Store jest jedynym w swoim rodzaju „ogrodem otoczonym murem” źródłem aplikacji dla urządzeń mobilnych Apple, to znaczy: albo tak, jak w WebKit, albo nie.

Powodem, dla którego krytyczne błędy WebKit są bardziej niebezpieczne niż błędy w wielu innych aplikacjach, jest to, że przeglądarki celowo spędzają czas na pobieraniu treści z dowolnego miejsca w Internecie.

Przeglądarki następnie przetwarzają te niezaufane pliki, dostarczane zdalnie przez serwery sieciowe innych osób, konwertują je na czytelną, klikalną zawartość i wyświetlają jako strony internetowe, z którymi można wchodzić w interakcję.

Oczekujesz, że Twoja przeglądarka będzie Cię aktywnie ostrzegać i wyraźnie prosić o pozwolenie przed wykonaniem działań, które są uważane za potencjalnie niebezpieczne, takich jak aktywacja kamery internetowej, wczytanie plików już zapisanych na Twoim urządzeniu lub zainstalowanie nowego oprogramowania.

Ale oczekujesz również, że treści, które nie są uważane za bezpośrednio niebezpieczne, takie jak wyświetlane obrazy, wyświetlane filmy, odtwarzane pliki audio itd., będą przetwarzane i prezentowane automatycznie.

Po prostu, po prostu odwiedzając strona internetowa nie powinna narażać Cię na wszczepienie złośliwego oprogramowania na Twoje urządzenie, kradzież danych, wywęszenie haseł, wystawienie Twojego cyfrowego życia na działanie oprogramowania szpiegującego lub jakiekolwiek nadużycie tego rodzaju.

Chyba, że ​​jest bug

O ile, oczywiście, nie ma błędu w WebKit (lub być może kilku błędów, które można strategicznie połączyć), tak że samo przygotowanie celowo zaminowanego pliku obrazu, wideo lub wyskakującego okienka JavaScript może spowodować, że przeglądarka zostanie oszukana i zrobi coś nie powinno.

Jeśli cyberprzestępcy, sprzedawcy oprogramowania szpiegującego, włamywacze więzień lub służby bezpieczeństwa rządu, który cię nie lubi, lub ktokolwiek, kto ma na sercu twoje najgorsze interesy, odkryją błąd tego rodzaju, który można wykorzystać, mogą naruszyć bezpieczeństwo cybernetyczne całego urządzenia…

…po prostu zwabiając cię na niewinnie wyglądającą stronę internetową, która powinna być całkowicie bezpieczna.

Cóż, Apple właśnie zaktualizowało swoje najnowsze poprawki Rapid Security Resonse, wprowadzając pełne aktualizacje dla wszystkich obsługiwanych produktów, a wśród biuletynów bezpieczeństwa dotyczących tych poprawek w końcu dowiedzieliśmy się, jakie były te szybkie reakcje tam naprawić.

Dwa dni zero:

• CVE-2023-28204: WebKit. Odczyt spoza zakresu został rozwiązany przez ulepszone sprawdzanie poprawności danych wejściowych. Przetwarzanie treści internetowych może ujawnić poufne informacje. Firma Apple jest świadoma doniesień, że ten problem mógł być aktywnie wykorzystywany.
• CVE-2023-32373: WebKit. Rozwiązano problem używania po zwolnieniu przez ulepszone zarządzanie pamięcią. Przetwarzanie złośliwie spreparowanej zawartości internetowej może prowadzić do wykonania dowolnego kodu. Firma Apple jest świadoma doniesień, że ten problem mógł być aktywnie wykorzystywany.

Ogólnie rzecz biorąc, gdy dwa dni zerowe tego rodzaju pojawiają się w WebKit w tym samym czasie, można założyć, że zostały one połączone przez przestępców w celu stworzenia dwuetapowego ataku polegającego na przejęciu.

Błędy, które niszczą pamięć poprzez nadpisywanie danych, których nie należy dotykać (np. CVE-2023-32373) są zawsze złe, ale nowoczesne systemy operacyjne zawierają wiele zabezpieczeń w czasie wykonywania, które mają na celu powstrzymanie wykorzystywania takich błędów do przejęcia kontroli nad błędnym programem.

Na przykład, jeśli system operacyjny losowo wybierze, gdzie programy i dane znajdą się w pamięci, cyberprzestępcy często nie mogą zrobić nic więcej poza awarią podatnego na ataki programu, ponieważ nie mogą przewidzieć, w jaki sposób kod, który atakują, jest ułożony w pamięci .

Ale dzięki dokładnym informacjom o tym, co jest gdzie, prymitywny, „crashtastic” exploit może czasem zostać przekształcony w exploit typu „crash and keep-control”: to, co jest znane pod samoopisową nazwą zdalne wykonanie kodu otwór.

Oczywiście błędy, które umożliwiają atakującym odczytywanie z lokalizacji pamięci, których nie powinni (np. CVE-2023-28204) mogą nie tylko bezpośrednio prowadzić do wycieku danych i kradzieży danych, ale także pośrednio do „awarii i przechowywania” kontroli”, ujawniając tajemnice dotyczące układu pamięci w programie i ułatwiając jego przejęcie.

Co ciekawe, w najnowszych aktualizacjach pojawiła się trzecia poprawka zero-day, ale ta najwyraźniej nie została naprawiona w Rapid Security Response.

• CVE-2023-32409: WebKit. Ten problem rozwiązano przez poprawienie sprawdzania granic. Zdalna osoba atakująca może być w stanie wydostać się z piaskownicy zawartości sieci Web. Firma Apple jest świadoma doniesień, że ten problem mógł być aktywnie wykorzystywany.

Jak możesz sobie wyobrazić, połączenie tych trzech dni zerowych byłoby odpowiednikiem atakującego: pierwszy błąd ujawnia sekrety potrzebne do niezawodnego wykorzystania drugiego błędu, a drugi umożliwia wszczepienie kodu w celu wykorzystania trzeciego …

… w tym momencie atakujący nie tylko przejął „ogrodzony murem ogród” Twojej bieżącej strony internetowej, ale przejął kontrolę nad całą Twoją przeglądarką lub gorzej.

Co robić?

Upewnij się, że masz załatane! (Iść do Ustawienia > Ogólne > Aktualizacja oprogramowania.)

Nawet urządzenia, które otrzymały już szybką odpowiedź w sprawie bezpieczeństwa na początku marca 2023 r., mają jeszcze dzień zerowy do załatania.

Wszystkie platformy otrzymały również wiele innych poprawek bezpieczeństwa, które mogły zostać wykorzystane do ataków na tak różne sposoby, jak: obejście preferencji dotyczących prywatności; dostęp do prywatnych danych z ekranu blokady; odczytywanie informacji o Twojej lokalizacji bez pozwolenia; szpiegowanie ruchu sieciowego z innych aplikacji; i więcej.

Po aktualizacji powinieneś zobaczyć następujące numery wersji:

• system operacyjny zegarka: teraz w wersji 9.5
• TVOS: teraz w wersji 16.5
• iOS 15 i iPadOS 15: teraz w wersji 15.7.6
• iOS 16 i iPadOS 16: teraz w wersji 16.5
• macOS Big Sur: teraz w 11.7.7
• macOS Monterey: teraz w 12.6.6
• przedsięwzięcie macOS: teraz w 13.4

Ważna uwaga: jeśli masz macOS Big Sur lub macOS Monterey, te wszystkie ważne poprawki WebKit nie są dołączone do aktualizacji wersji systemu operacyjnego, ale są dostarczane w oddzielnym pakiecie aktualizacji o nazwie Safari 16.5.

Miłej zabawy!

---

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
• Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
• Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
• Źródło: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/