Apple tiho umakne svojo najnovejšo posodobitev ničelnega dne

Ponovno objavil Platon

Spremljevalci: 0

Betteridgejev zakon o naslovih vztraja, da je mogoče na vsak naslov, zastavljen kot vprašanje, takoj odgovoriti s preprostim »Ne«.

Očitno je teorija za to duhovitostjo (pravzaprav ni zakon, niti pravilo, niti pravzaprav nič več kot predlog) ta, da če bi avtor vedel, o čem govori, in bi imel prave dokaze v podporo svojemu primeru, napisali bi naslov kot nerazredčeno dejstvo.

No, tukaj nismo novinarji na goli varnosti, zato nas ta zakon na srečo ne zavezuje.

Neusmiljen odgovor na naše vprašanje v zgornjem naslovu je, "Nihče ne ve, razen Apple, in Apple tega ne pove."

Boljši, a priznano sredinski odgovor je, "Počakaj in boš videl."

.s-button+.s-button { margin-left: .3125rem; } .s-button { prehod: vse .15s linearno; velikost pisave: .875rem; višina vrstice: 1.5; barva: #f2f2f2; družina pisav: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; teža pisave: 400; slog pisave: normalen; zaslon: inline-block; oblazinjenje: .3125rem 1.25rem; kazalec: kazalec; poravnava besedila: sredina; tekst-dekoracija: brez; obroba: 1px polna #005bc8; polmer obrobe: 3px; barva ozadja: #005bc8; text-shadow: brez; } .s-button:hover { text-decoration: none; barva: #fff; barva obrobe: #002d62; barva ozadja: #002d62; } .s-button–white, .s-button–white:hover { barva: #005bc8 !pomembno; barva obrobe: #fff; barva ozadja: #fff; } .s-ad-sophos-mdr { velikost-pisave: 1rem; višina vrstice: 1.5; barva: #242629; družina pisav: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; teža pisave: 400; slog pisave: normalen; položaj: relativni; največja širina: 769 slikovnih pik; rob: 15 slikovnih pik samodejno; oblazinjenje: 30px 30px 25px; prehod: box-shadow .25s cubic-bezier( .645, .045, .355, 1); poravnava besedila: sredina; barva ozadja: #0d141d; ponavljanje v ozadju: brez ponavljanja; položaj ozadja: 50 %; velikost ozadja: naslovnica; box-shadow: 0 0 0 0 0 prozoren; barva ozadja: #005bc8; slika ozadja: brez; položaj ozadja: 0 0; } .s-ad-sophos-mdr__title { velikost-pisave: 2rem; višina vrstice: 1.125; rob-spodaj: 4px; barva: #fff; } .s-ad-sophos-mdr__text { družina-pisav: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; teža pisave: 400; slog pisave: normalen; velikost pisave: 17px; barva: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { barva: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr {box-shadow: 0 5px 10px 0 rgba(0, 0, 0, .15); } .s-ad-sophos-mdr__sophos-logo { položaj: absolutno; zgoraj: 15px; desno: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; širina: 64px; višina: 11px; navpična poravnava: zgoraj; ponavljanje v ozadju: brez ponavljanja; velikost ozadja: 64px 11px; } .s-ad-sophos-mdr__title { družina-pisav: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; teža pisave: 400; slog pisave: normalen; velikost pisave: 28px; teža pisave: 700; višina vrstice: 1; rob-spodaj: 10px; poravnava besedila: levo; } .s-ad-sophos-mdr__title svg { max-width: 100 %; } .s-ad-sophos-mdr__text { velikost pisave: 16px; višina črte: 1.25; poravnava besedila: levo; } .s-ad-sophos-mdr__action { poravnava besedila: desno; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { položaj: absolutno; desno: 30px; spodaj: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { velikost-pisave: 1.625rem; } .s-ad-sophos-mdr__text { velikost pisave: 16px; } .s-ad-sophos-mdr { padding-top: 30px; }}

Hitri odzivi

Ta zgodba se je začela včeraj pozno, ob koncu 2023-06-10 po britanskem času, ko smo navdušeni [misliš 'razburljivo'? – ur.] je napisal nasvet o Applu drugič Hiter varnostni odziv (RSR):

Ti RSR so, tako kot mi razloženo prej, Applovo prizadevanje za zagotavljanje nujnih popravkov posamezne težave tako hitro, kot običajno počnejo dobro vodeni odprtokodni projekti, pri katerih popravki ničelnega dne pogosto izidejo v dnevu ali dveh po odkritju težave, s posodobitvami na posodobitve nemudoma, če nadaljnje preiskave razkrijejo nadaljnje težave, ki jih je treba odpraviti.

Eden od razlogov, zakaj lahko odprtokodni projekti sprejmejo ta način pristopa, je, da običajno nudijo stran za prenos s celotno izvorno kodo vsake uradno izdane različice, tako da če hitite sprejeti najnovejše popravke v urah, namesto v dnevih ali tednov in se ne obnesejo, ni nobene ovire za vrnitev na prejšnjo različico, dokler ni pripravljen popravek za popravek.

Vendar pa je Applova uradna pot nadgradnje, vsaj za svoje mobilne naprave, vedno zagotavljanje popolnih popravkov na sistemski ravni, ki jih ni mogoče nikoli povrniti nazaj, ker Appleu ni všeč zamisel, da uporabniki namerno znižajo svoje sisteme, da bi izkoriščajo stare hrošče za namene jailbreaka lastnih naprav ali nameščanja alternativnih operacijskih sistemov.

Posledično, tudi ko je Apple izdelal nujne popravke ene ali dveh napak za luknje nič-dneva, ki so jih že aktivno izkoriščali, je moralo podjetje pripraviti (in vi ste morali verjeti v to), kar je v bistvu ena smer nadgradnja, čeprav je vse, kar ste v resnici potrebovali, minimalističen posodobitev na eno komponento sistema za zakrpanje jasne in prisotne nevarnosti.

Vstopite v postopek RSR, ki omogoča hitre popravke, ki jih lahko namestite v naglici, za katere vam ni treba, da telefon vzamete brez povezave za 15 do 45 minut ponavljajočih se ponovnih zagonov, in ki jih lahko pozneje odstranite (in znova namestite, odstranite in tako naprej), če se odločite, da je bilo zdravilo hujše od bolezni.

Napake, začasno popravljene prek RSR, bodo trajno popravljene v naslednji nadgradnji polne različice ...

... tako da RSR-ji ne potrebujejo ali dobijo popolnoma nove lastne številke različice.

Namesto tega dobijo pripeto zaporedno črko, tako da je prvi Rapid Security Response za iOS 16.5.1 (ki je izšel včeraj) prikazan v Nastavitve > splošno > O meni as 16.5.1 (a).

(Ne vemo, kaj se zgodi, če zaporedje kdaj preide (z), vendar bi bili pripravljeni malo staviti na odgovor (aa)ali morda (za) če je razvrščanje po abecedi pomembno.)

Danes tukaj, jutri odšel

Kakor koli že, le nekaj ur po tem, ko sem vsem svetoval, naj nabavijo iOS in iPadOS 16.5.1 (a), ker popravlja izkoriščanje ničelnega dne v Applovi kodi WebKit in bi ga zato skoraj zagotovo lahko zlorabili za zlonamerno programsko opremo, kot je vstavljanje vohunske programske opreme ali grabljenje zasebni podatki iz vašega telefona ...

… komentatorji (posebna hvala Johnu Michaelu Leslieju, ki objavljene na naši Facebook strani) so začeli poročati, da se posodobitev ne prikazuje več, ko so uporabili Nastavitve > splošno > Posodobitev programske opreme da poskusijo posodobiti svoje naprave.

Apple lastno varnostni portal še vedno navaja [2023-07-11T15:00:00Z] najnovejše posodobitve kot macOS 13.4.1 (a) in iOS/iPadOS 16.5.1 (a), z datumom 2023. 07. 10, brez opomb o tem, ali so bili uradno suspendirani ali ne.

Ampak Poročila prek spletnega mesta MacRumors kažejo, da so bile posodobitve zaenkrat umaknjene.

Eden od predlaganih razlogov je, da se Applov brskalnik Safari zdaj identificira v spletnih zahtevah z nizom User-Agent, ki vključuje dodatek (a) v svoji številki različice.

To je tisto, kar smo videli, ko smo naš posodobljen brskalnik Safari v sistemu iOS usmerili na poslušajočo vtičnico TCP (formatirano s prelomi vrstic za izboljšanje čitljivosti):

$ ncat -vv -l 9999 Ncat: Različica 7.94 ( https://nmap.org/ncat ) Ncat: Poslušanje na :::9999 Ncat: Poslušanje na 0.0.0.0:9999 Ncat: Povezava iz 10.42.42.1. Ncat: Povezava od 10.42.42.1:13337. GET / HTTP/1.1 Gostitelj: 10.42.42.42:9999 Upgrade-Insecure-Requests: 1 Accept: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; CPE iPhone OS 16_5_1 kot Mac OS X) AppleWebKit/605.1.15 (KHTML, kot Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate Povezava: keep-alive NCAT DEBUG: Zapiranje fd 5.

Po mnenju nekaterih komentatorjev MacRumors to Version/ niz, sestavljen tako kot iz običajnih številk in pik skupaj z nekaj čudnega in nepričakovanega besedila v okroglih oklepajih, zmede nekatera spletna mesta.

(Ironično se zdi, da so spletna mesta, ki smo jih videli kriviti v tej navidezni različici-niza-napačno razčlenjevanje-igre krivde, vsa storitve, do katerih veliko pogosteje dostopajo namenske aplikacije kot prek brskalnika, vendar se zdi, da teorija očitno zadušiti se s tem 16.5.2 (a) identifikator različice, če se odločite, da jih obiščete s posodobljeno različico brskalnika Safari.)

Kaj storiti?

Strogo gledano, samo Apple ve, kaj se tukaj dogaja, in ne pove. (Vsaj ne uradno prek svojega varnostnega portala (HT201222) ali njen O hitrih varnostnih odzivih stran (HT201224.)

Predlagamo, da posodobitev, če že imate, ne odstranite, razen če resnično ovira vašo zmožnost uporabe telefona s spletnimi mesti ali aplikacijami, ki jih potrebujete za delo, ali če vam vaš IT oddelek izrecno ne naroči, da vrnete nazaj na »ne-(a)« okus macOS, iOS ali iPadOS.

Konec koncev je bila ta posodobitev ocenjena kot primerna za hiter odziv, ker je izkoriščanje, ki ga popravlja, luknja v divjini za oddaljeno izvajanje kode (RCE) v brskalniku.

Če želite ali želite odstraniti RSR, lahko storite to:

Če imate iPhone ali iPad. Pojdi na Nastavitve > splošno > O meni > Različica iOS/iPadOS In izberite Odstrani varnostni odziv.
Če imate Mac. Pojdi na Sistemske nastavitve > splošno > O meni In kliknite na (i) ikona na koncu postavke z naslovom prihaja macOS.

Upoštevajte, da smo RSR takoj namestili v macOS Ventura 13.4.1 in iOS 16.5.1 in nismo imeli nobenih težav pri brskanju po naših običajnih spletnih mestih prek brskalnika Safari ali Edge. (Ne pozabite, da vsi brskalniki uporabljajo WebKit na mobilnih napravah Apple!)

Zato ne nameravamo odstraniti posodobitve in tega nismo pripravljeni narediti eksperimentalno, ker nimamo pojma, ali jo bomo lahko pozneje znova namestili.

Komentatorji so predlagali, da se popravek preprosto ne prijavi, ko poskusijo z nepopravljene naprave, vendar nismo poskusili znova popraviti predhodno popravljeno napravo, da bi videli, ali vam to daje čarobno vstopnico za ponovno pridobivanje posodobitve.

Enostavno povedano:

Če ste že prenesli macOS 13.4.1 (a) ali iOS/iPadOS 16.5.1 (a), obdržite posodobitev, razen če se je nujno znebite, glede na to, da vas ščiti pred luknjo ničelnega dne.
Če ste ga namestili in ga res potrebujete ali želite odstraniti, glejte naša zgornja navodila, vendar domnevajte, da ga pozneje ne boste mogli znova namestiti in se boste zato uvrstili v tretjo kategorijo spodaj.
Če ga še nimate, si oglejte ta prostor. Predvidevamo, da je (a) obliž bo hitro zamenjal a (b) popravek, ker je celotna ideja teh "posodobitev s črkami" ta, da so namenjene hitrim odzivom. Toda samo Apple ve zagotovo.

Naš običajni nasvet od včeraj bomo nadomestili z besedami: Ne odlašajte; storite to takoj, ko vam Apple in vaša naprava dovolita.