Apple молча выпускает свое последнее обновление нулевого дня — что теперь?

Apple молча выпускает свое последнее обновление нулевого дня — что теперь?

Отметка времени: 11 июля 2023 г., 11:21
Исходный узел: 2757815
by Пол Даклин

Закон заголовков Беттериджа утверждает, что на любой заголовок, сформулированный как вопрос, можно немедленно ответить простым «Нет».

По-видимому, теория этой остроты (на самом деле это не Закон, и даже не правило, и даже не что-то большее, чем предположение) состоит в том, что если бы автор знал, о чем говорил, и имел реальные доказательства в поддержку своей версии, они бы написали заголовок как непреложный факт.

Ну, мы не журналисты здесь, на Naked Security, так что, к счастью, мы не связаны этим законом.

Безжалостный ответ на наш собственный вопрос в заголовке выше таков: «Никто не знает, кроме Apple, а Apple не говорит».

Лучший, но, по общему признанию, средний ответ: "Ждать и смотреть."

Быстрые ответы

Эта история началась вчера поздно вечером, в конце 2023-06-10 по британскому времени, когда мы взволнованно [Вы имеете в виду «возбудимый»? – Ред.] написал рекомендацию о второй в истории Быстрое реагирование службы безопасности (RSR):

Эти RSR, как мы объяснил ранее, усилия Apple по предоставлению экстренных исправлений для отдельных проблем так же быстро, как это обычно делают хорошо управляемые проекты с открытым исходным кодом, где исправления нулевого дня часто выходят в течение дня или двух после обнаружения проблемы, а обновления до обновлений следуют незамедлительно, если дальнейшие расследования выявят дополнительные проблемы, требующие устранения.

Одна из причин, по которой проекты с открытым исходным кодом могут использовать такой подход, заключается в том, что они обычно предоставляют страницу загрузки с полным исходным кодом каждой когда-либо официально выпущенной версии, так что, если вы спешите принять последние исправления в течение нескольких часов, а не дней или недель, и они не работают, нет препятствий для отката к предыдущей версии, пока не будет готово исправление за исправлением.

Однако официальный путь обновления Apple, по крайней мере, для ее мобильных устройств, всегда заключался в предоставлении полных исправлений системного уровня, которые нельзя было бы откатить, потому что Apple не нравится идея о том, что пользователи преднамеренно понижают свои собственные системы, чтобы использовать старые ошибки с целью джейлбрейка собственных устройств или установки альтернативных операционных систем.

В результате, даже когда Apple выпускала экстренные исправления одной или двух ошибок для дыр нулевого дня, которые уже активно эксплуатировались, компании нужно было придумать (и вам нужно было поверить) то, что по сути было Одностороннее движение модернизация, хотя все, что вам действительно нужно, это минималистичный обновление одному компоненту системы, чтобы исправить явную и реальную опасность.

Войдите в процесс RSR, позволяющий устанавливать быстрые исправления, которые вы можете установить в спешке, которые не требуют от вас отключения телефона от 15 до 45 минут повторных перезагрузок, и которые вы можете позже удалить (и переустановить, и удалить, и и так далее), если вы решите, что лекарство оказалось хуже болезни.

Ошибки, временно исправленные через RSR, будут исправлены навсегда в следующем полном обновлении версии…

…чтобы RSR не нуждались в собственном номере совершенно новой версии или не получали его.

Вместо этого к ним добавляется порядковая буква, так что первый быстрый ответ безопасности для iOS 16.5.1 (который вышел вчера) отображается в Настройки > Общие > О нас as 16.5.1 (а).

(Мы не знаем, что произойдет, если последовательность когда-либо выйдет за пределы (z), но мы готовы сделать небольшую ставку на то, что ответ (aa)или возможно (za) если сортировка по алфавиту считается важной.)

Сегодня здесь, завтра ушел

В любом случае, всего через несколько часов после того, как всем посоветовали установить iOS и iPadOS 16.5.1 (a), потому что она исправляет эксплойт нулевого дня в коде Apple WebKit и, следовательно, почти наверняка может быть использована для вредоносных программ, таких как внедрение шпионского ПО или захват личные данные с вашего телефона…

…комментаторов (особая благодарность Джону Майклу Лесли, который размещены на нашей странице в Facebook) начали сообщать, что обновление больше не отображается, когда они использовали Настройки > Общие > Обновление ПО чтобы попытаться обновить свои устройства.

Собственный портал безопасности по-прежнему перечисляет [2023-07-11T15:00:00Z] самые последние обновления как macOS 13.4.1 (а) и iOS/iPadOS 16.5.1 (а), от 2023 июля 07 г., без примечаний о том, были ли они официально приостановлены или нет.

Но отчеты через сайт MacRumors предполагают, что обновления на данный момент отозваны.

Одна из предполагаемых причин заключается в том, что браузер Apple Safari теперь идентифицирует себя в веб-запросах с помощью строки User-Agent, которая включает в себя дополнение (a) в его номере версии.

Вот что мы увидели, когда направили наш обновленный браузер Safari на iOS на слушающий TCP-сокет (отформатированный с разрывами строк для улучшения разборчивости):

$ ncat -vv -l 9999 Ncat: версия 7.94 ( https://nmap.org/ncat ) Ncat: прослушивание :::9999 Ncat: прослушивание 0.0.0.0:9999 Ncat: подключение с 10.42.42.1. Ncat: подключение с 10.42.42.1:13337. GET / HTTP/1.1 Host: 10.42.42.42:9999 Upgrade-Insecure-Requests: 1 Accept: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1, например Mac OS X) AppleWebKit/605.1.15 (KHTML, например Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate Соединение: keep-alive NCAT DEBUG: Закрытие fd 5.

По мнению некоторых комментаторов MacRumors, это Version/ строка, состоящая из обычных чисел и точек, а также какого-то странного и неожиданного текста в круглых скобках, сбивает с толку некоторые веб-сайты.

(По иронии судьбы, сайты, которые мы видели обвиняемыми в этой очевидной игре-обвинения-неправильной-строки-версии, похоже, являются службами, к которым гораздо чаще обращаются специальные приложения, чем через браузер, но теория, похоже, заключается в том, что они, по-видимому, подавиться этим 16.5.2 (a) идентификатор версии, если вы решите посетить их с обновленной версией Safari.)

Что делать?

Строго говоря, только Apple знает, что здесь происходит, и она не говорит. (По крайней мере, официально через портал безопасности (HT201222) или его О быстрых ответах безопасности страница (HT201224.)

Мы предлагаем, если у вас уже есть обновление, не удалять его, за исключением случаев, когда оно действительно мешает вам использовать телефон с веб-сайтами или приложениями, которые вам нужны для работы, или если ваш собственный ИТ-отдел явно не говорит вам откатиться. к варианту «не (а)» macOS, iOS или iPadOS.

В конце концов, это обновление было сочтено подходящим для быстрого реагирования, потому что исправляемый им эксплойт представляет собой дикую дыру удаленного выполнения кода (RCE) на основе браузера.

Если вам нужно или вы хотите удалить RSR, вы можете сделать это:

  • Если у вас есть iPhone или iPad. Перейдите на Настройки > Общие > О нас > Версия для iOS/iPadOS , а затем выбрать Удалить ответ безопасности.
  • Если у вас есть Mac. Перейдите на Настройки системы > Общие > О нас И нажмите (i) значок в конце пункта под названием macOS Вентура.

Обратите внимание, что мы сразу же установили RSR на macOS Ventura 13.4.1 и iOS 16.5.1, и у нас не было проблем с просмотром наших обычных веб-сайтов через Safari или Edge. (Помните, что все браузеры используют WebKit на мобильных устройствах Apple!)

Поэтому мы не собираемся удалять обновление и не хотим делать это экспериментально, потому что понятия не имеем, сможем ли потом снова установить его.

Комментаторы предположили, что об исправлении просто не сообщается, когда они пытаются с неисправленного устройства, но мы не пытались повторно установить исправление на ранее исправленное устройство, чтобы посмотреть, даст ли это вам волшебный билет для повторного получения обновления.

Проще говоря:

  • Если вы уже загрузили macOS 13.4.1 (a) или iOS/iPadOS 16.5.1 (a), сохраните обновление, если вам абсолютно не нужно от него избавиться, учитывая, что оно защищает вас от дыры нулевого дня.
  • Если вы установили его и действительно нуждаетесь или хотите его удалить, см. наши инструкции выше, но предположим, что вы не сможете переустановить его позже, и поэтому отнесете себя к третьей категории ниже.
  • Если вы еще не получили его, посмотрите это пространство. Мы предполагаем, что (a) патч будет быстро заменен на (b) патч, потому что вся идея этих «буквенных обновлений» заключается в том, что они предназначены для быстрого реагирования. Но точно знает только Apple.

Мы исправим наш обычный вчерашний совет, сказав: Не задерживай; сделайте это, как только Apple и ваше устройство позволят вам.

Отметка времени:

Больше от Голая Безопасность