Apple scoate în tăcere cea mai recentă actualizare zero-day – ce acum?

Apple scoate în tăcere cea mai recentă actualizare zero-day – ce acum?

Marca temporală: 11 iulie 2023, ora 11:21
Nodul sursă: 2757815
by Paul Ducklin

Legea titlurilor lui Betteridge insistă că orice titlu pus ca întrebare poate primi instantaneu un răspuns cu un simplu „Nu”.

Aparent, teoria din spatele acestui duh (nu este de fapt o Lege, nici încă o regulă, nici măcar de fapt ceva mai mult decât o sugestie) este că, dacă autorul ar ști despre ce vorbesc și ar avea dovezi reale care să susțină cazul lor, ar fi scris titlul ca pe un fapt nediluat.

Ei bine, noi nu suntem jurnaliști aici pe Naked Security, așa că, din fericire, nu suntem obligați de această lege.

Răspunsul nemilos la propria noastră întrebare din titlul de mai sus este: „Nimeni nu știe în afară de Apple și Apple nu spune.”

Un răspuns mai bun, dar desigur la mijlocul drumului este, „Așteptați și vedeți”.

Răspunsuri rapide

Această poveste a început ieri târziu, la sfârșitul anului 2023-06-10, ora Marii Britanii, când am încântat [vrei să spui „excitabil?” – Ed.] a scris un aviz despre Apple a doua vreodată Răspuns rapid de securitate (RSR):

Aceste RSR sunt, ca și noi explicat anterior, efortul Apple de a furniza remedieri de urgență cu o singură problemă la fel de prompt ca în general un proiect open source bine gestionat, unde patch-urile de tip zero-day apar adesea într-o zi sau două de la identificarea unei probleme, urmând actualizările la actualizări. prompt, dacă investigațiile ulterioare dezvăluie probleme suplimentare care trebuie remediate.

Unul dintre motivele pentru care proiectele open source pot adopta acest tip de abordare este că de obicei oferă o pagină de descărcare cu codul sursă complet al fiecărei versiuni lansate oficial vreodată, astfel încât, dacă vă grăbiți să adoptați cele mai recente remedieri în câteva ore, mai degrabă decât în ​​zile sau zile. săptămâni și nu funcționează, nu există nicio barieră în calea revenirii la versiunea anterioară până când soluția-pentru-remediere este gata.

Calea oficială de actualizare a Apple, totuși, cel puțin pentru dispozitivele sale mobile, a fost întotdeauna furnizarea de corecții complete la nivel de sistem, care nu pot fi niciodată anulate, deoarece Apple nu-i place ideea ca utilizatorii să-și degradeze în mod deliberat propriile sisteme pentru a exploatează erori vechi în scopul de a-și face jailbreak-ul propriilor dispozitive sau de a instala sisteme de operare alternative.

Drept urmare, chiar și atunci când Apple a produs remedieri de urgență cu o eroare sau două erori pentru găurile de zi zero care erau deja exploatate activ, compania trebuia să vină cu (și trebuia să vă puneți încrederea în) ceea ce era în esență un Sens unic upgrade-ul, chiar dacă tot ce aveai nevoie era un minimalism actualizare la o componentă a sistemului pentru a corecta un pericol clar și prezent.

Introduceți procesul RSR, permițând patch-uri rapide pe care le puteți instala în grabă, care nu necesită să luați telefonul offline timp de 15 până la 45 de minute de reporniri repetate și pe care ulterior le puteți elimina (și reinstalați și eliminați, și așa mai departe) dacă decideți că leacul a fost mai rău decât boala.

Bug-urile remediate temporar printr-un RSR vor fi corectate permanent în următoarea actualizare a versiunii complete...

… astfel încât RSR-urile să nu aibă nevoie sau să primească un număr de versiune complet nou al lor.

În schimb, li se atașează o scrisoare de secvență, astfel încât primul răspuns rapid de securitate pentru iOS 16.5.1 (care a apărut ieri) este afișat în Setări cont > General > Despre Noi as 16.5.1 (a).

(Nu știm ce se întâmplă dacă secvența trece vreodată (z), dar am fi dispuși să luăm un mic pariu pe răspunsul fiind (aa), sau poate (za) dacă sortarea alfabetică este considerată importantă.)

Aici astăzi, mâine plecat

Oricum, la doar câteva ore după ce i-am sfătuit pe toată lumea să obțină iOS și iPadOS 16.5.1 (a), deoarece remediază o exploatare zero-day în codul Apple WebKit și, prin urmare, aproape sigur că ar putea fi abuzat pentru malware, cum ar fi implantarea de spyware sau capturarea date private de pe telefon...

… comentatori (mulțumiri speciale lui John Michael Leslie, care postat pe pagina noastră de Facebook) au început să raporteze că actualizarea nu mai apărea când au folosit-o Setări cont > General > Actualizare de software pentru a încerca să-și actualizeze dispozitivele.

Apple este propriu portal de securitate listează în continuare [2023-07-11T15:00:00Z] cele mai recente actualizări ca macOS 13.4.1 (a) și iOS/iPadOS 16.5.1 (a), din 2023-07-10, fără note despre dacă au fost suspendați oficial sau nu.

dar Rapoarte prin site-ul MacRumors sugerează că actualizările au fost retrase pentru moment.

Un motiv sugerat este că browserul Apple Safari se identifică acum în cererile web cu un șir User-Agent care include apendicele (a) în numărul său de veraion.

Iată ce am văzut când am îndreptat browserul nostru Safari actualizat pe iOS către un socket TCP care ascultă (formatat cu întreruperi de linie pentru a îmbunătăți lizibilitatea):

$ ncat -vv -l 9999 Ncat: Versiunea 7.94 ( https://nmap.org/ncat ) Ncat: Ascultare pe :::9999 Ncat: Ascultare pe 0.0.0.0:9999 Ncat: Conexiune din 10.42.42.1. Ncat: Conexiune din 10.42.42.1:13337. GET / HTTP/1.1 Gazdă: 10.42.42.42:9999 Solicitări nesigure de actualizare: 1 Accept: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 ca Mac OS X) AppleWebKit/605.1.15 (KHTML, ca Gecko) Versiunea/16.5.2 (a) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Acceptare-Codificare: gzip, deflate Conexiune: keep-alive NCAT DEBUG: Închidere fd 5.

Potrivit unor comentatori MacRumors, asta Version/ șir, format din numere și puncte obișnuite, împreună cu un text ciudat și neașteptat între paranteze rotunde, deranjează unele site-uri web.

(În mod ironic, site-urile pe care le-am văzut învinovățite în acest joc aparent de versiuni-șir-de-învinovățire-învinovățire, toate par a fi servicii care sunt mult mai frecvent accesate de aplicații dedicate decât prin intermediul unui browser, dar teoria pare să fie că acestea aparent sufocă-te cu asta 16.5.2 (a) identificatorul versiunii dacă decideți să le vizitați cu o versiune actualizată de Safari.)

Ce să fac?

Strict vorbind, doar Apple știe ce se întâmplă aici și nu spune. (Cel puțin, nu oficial prin portalul său de securitate (HT201222) sau ei Despre răspunsurile rapide de securitate Pagina (HT201224.)

Vă sugerăm, dacă aveți deja actualizarea, să nu o eliminați decât dacă interferează cu adevărat cu capacitatea dvs. de a vă folosi telefonul cu site-urile web sau aplicațiile de care aveți nevoie pentru lucru sau dacă propriul departament IT vă spune în mod explicit să reveniți. la varianta „non-(a)” a macOS, iOS sau iPadOS.

La urma urmei, această actualizare a fost considerată potrivită pentru un răspuns rapid, deoarece exploit-ul pe care îl remediază este o gaură de execuție a codului de la distanță (RCE) bazată pe browser.

Dacă aveți nevoie sau doriți să eliminați RSR, puteți face acest lucru:

  • Dacă aveți un iPhone sau iPad. Mergi la pagina Setări cont > General > Despre Noi > Versiunea iOS/iPadOS Și alegeți Eliminați răspunsul de securitate.
  • Dacă aveți un Mac. Mergi la pagina Setarile sistemului > General > Despre Noi și faceți clic pe (i) pictograma de la sfârșitul articolului intitulat macOS vine.

Rețineți că am instalat RSR-ul imediat pe macOS Ventura 13.4.1 și iOS 16.5.1 și nu am avut probleme la navigarea la bântuielile noastre web obișnuite prin Safari sau Edge. (Rețineți că toate browserele folosesc WebKit pe dispozitivele mobile Apple!)

Prin urmare, nu intenționăm să eliminăm actualizarea și nu suntem dispuși să facem acest lucru experimental, deoarece nu avem idee dacă o vom putea reinstala ulterior.

Comentatorii au sugerat că patch-ul pur și simplu nu este raportat atunci când încearcă de pe un dispozitiv nepatchat, dar nu am încercat să re-patchăm un dispozitiv corelat anterior pentru a vedea dacă asta vă oferă un bilet magic pentru a prelua din nou actualizarea.

Pur și simplu pune:

  • Dacă ați descărcat deja macOS 13.4.1 (a) sau iOS/iPadOS 16.5.1 (a), păstrați actualizarea dacă nu trebuie neapărat să scăpați de ea, având în vedere că vă protejează împotriva unei gauri de zi zero.
  • Dacă l-ați instalat și aveți nevoie sau doriți să îl eliminați, consultați instrucțiunile noastre de mai sus, dar presupuneți că nu veți putea să-l reinstalați mai târziu și, prin urmare, vă veți încadra în a treia categorie de mai jos.
  • Dacă nu l-ați primit încă, urmăriți acest spațiu. Bănuim că (a) plasturele va fi înlocuit rapid cu a (b) patch, pentru că întreaga idee a acestor „actualizări scrise” este că sunt menite să fie răspunsuri rapide. Dar doar Apple știe sigur.

Vom corecta sfaturile noastre obișnuite de ieri spunând: Nu întârzia; faceți-o imediat ce Apple și dispozitivul dvs. vă vor permite.

Timestamp-ul:

Mai mult de la Securitate goală