Apples hemlighet är ute: 3 nolldagar fixade, så se till att patcha nu!

Kom ihåg den där blixtlåsta men supersnabba uppdateringen som Apple skjuts ut för tre veckor sedan, den 2023-05-01?

Den uppdateringen var den allra första i Apples nymodiga Snabb säkerhetsrespons process, där företaget kan skicka ut kritiska patchar för viktiga systemkomponenter utan att gå igenom en uppdatering av operativsystemet i full storlek som tar dig till ett nytt versionsnummer.

Som vi funderade på i podden Naked Securirty den veckan:

Apple har precis introducerat "Rapid Security Responses." Människor rapporterar att de tar sekunder att ladda ner och kräver en supersnabb omstart. [Men] när det gäller att vara snäva [om uppdateringen], är de zippade. Absolut ingen information vad det handlade om. Men det gick snabbt och fint!

Bra för vissa

Tyvärr var dessa nya Rapid Security Responses endast tillgängliga för den allra senaste versionen av macOS (för närvarande Ventura) och den senaste iOS/iPadOS (för närvarande på version 16), vilket lämnade användare av äldre Mac- och iDevices, såväl som ägare av Apple Watches och Apple TV, i mörkret.

Apples beskrivning av de nya snabba korrigeringarna antydde att de vanligtvis skulle hantera nolldagarsbuggar som påverkade kärnprogramvara som Safari-webbläsaren och WebKit, som är webbrenderingsmotorn som varje webbläsare är skyldig att använda på iPhones och iPads.

Tekniskt sett kan du skapa en webbläsarapp för iPhone eller iPad som använde Chromium-motorn, som Chrome och Edge gör, eller Gecko-motorn, som Mozillas webbläsare gör, men Apple skulle inte släppa in den i App Store om du gjorde det.

Och eftersom App Store är den enda "väggomgärdade trädgården"-källan för appar för Apples mobila enheter, det är det: det är WebKit-sättet, eller inte.

Anledningen till att kritiska WebKit-buggar tenderar att vara farligare än buggar i många andra applikationer är att webbläsare helt avsiktligt spenderar sin tid på att hämta innehåll från var som helst och överallt på internet.

Webbläsare bearbetar sedan dessa opålitliga filer, som tillhandahålls på distans av andras webbservrar, konverterar dem till synligt, klickbart innehåll och visar dem som webbsidor du kan interagera med.

Du förväntar dig att din webbläsare aktivt kommer att varna dig, och uttryckligen begära tillstånd, innan du utför åtgärder som anses vara potentiellt farliga, som att aktivera din webbkamera, läsa in filer som redan finns lagrade på din enhet eller installera ny programvara.

Men du förväntar dig också att innehåll som inte anses vara direkt farligt, såsom bilder som ska visas, videor som ska visas, ljudfiler som ska spelas upp och så vidare, bearbetas och presenteras för dig automatiskt.

Enkelt uttryckt, bara besök en webbsida bör inte utsätta dig för risk för att skadlig programvara implanteras på din enhet, din data stjäls, dina lösenord sniffas upp, ditt digitala liv utsätts för spionprogram eller något sådant missbruk.

Om det inte finns en bugg

Såvida det inte finns en bugg i WebKit (eller kanske flera buggar som kan kombineras strategiskt), så att din webbläsare kan luras att göra något bara genom att förbereda en medvetet bildfil, video eller JavaScript-popup. det borde det inte.

Om cyberbrottslingar, eller spionprogramsäljare, eller jailbreakers, eller säkerhetstjänsterna hos en regering som inte gillar dig, eller faktiskt någon med dina värsta intressen på hjärtat, upptäcker en exploateringsbar bugg av detta slag, kan de eventuellt äventyra cybersäkerheten av hela din enhet...

… helt enkelt genom att locka dig till en annars oskyldigt utseende webbplats som borde vara helt säker att besöka.

Tja, Apple följde precis upp sina senaste Rapid Security Resonse-korrigeringar med kompletta uppdateringar för alla dess produkter som stöds, och bland säkerhetsbulletinerna för dessa korrigeringar har vi äntligen fått reda på vad dessa snabba svar var. där för att fixa.

Två nolldagar:

• CVE-2023-28204: WebKit. En out-of-bound läsning togs upp med förbättrad indatavalidering. Bearbetning av webbinnehåll kan avslöja känslig information. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
• CVE-2023-32373: WebKit. Ett problem utan användning efter-fri åtgärdades med förbättrad minneshantering. Bearbetning av uppsåtligt webbinnehåll kan leda till exekvering av godtycklig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Generellt sett, när två nolldagar av det här slaget dyker upp samtidigt i WebKit, är det en bra satsning att de har kombinerats av kriminella för att skapa en tvåstegsattack.

Buggar som korrumperar minnet genom att skriva över data som inte bör röras (t.ex. CVE-2023-32373) är alltid dåliga, men moderna operativsystem inkluderar många runtime-skydd som syftar till att stoppa sådana buggar som utnyttjas för att ta kontroll över buggyprogrammet.

Till exempel, om operativsystemet slumpmässigt väljer var program och data hamnar i minnet, kan cyberkriminella ofta inte göra så mycket mer än att krascha det sårbara programmet, eftersom de inte kan förutsäga hur koden de attackerar läggs ut i minnet .

Men med exakt information om vad som är var kan en grov, "kraschtastisk" exploatering ibland förvandlas till en "krasch-och-behåll-kontroll"-missbruk: det som är känt under det självbeskrivande namnet på en extern kod exekvering hål.

Naturligtvis kan buggar som låter angripare läsa från minnesplatser som de inte är tänkta (t.ex. CVE-2023-28204) inte bara leda direkt till dataläckage och datastöld, utan också indirekt leda till "krasch-och-behåll- control” attacker, genom att avslöja hemligheter om minneslayouten i ett program och göra det lättare att ta över.

Spännande nog finns det en tredje nolldagars patch i de senaste uppdateringarna, men den här fixades tydligen inte i Rapid Security Response.

• CVE-2023-32409: WebKit. Problemet åtgärdades med förbättrade gränskontroller. En fjärrangripare kanske kan bryta sig ur webbinnehållssandlådan. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Som du kan föreställa dig skulle en kombination av dessa tre nolldagar motsvara en hemkörning till en angripare: den första buggen avslöjar hemligheterna som behövs för att utnyttja den andra buggen på ett tillförlitligt sätt, och den andra buggen tillåter att kod implanteras för att utnyttja den tredje …

…vid vilken tidpunkt har angriparen inte bara tagit över den "muromgärdade trädgården" på din nuvarande webbsida, utan tagit kontroll över hela din webbläsare, eller ännu värre.

Vad göra?

Se till att du är patchad! (Gå till Inställningar > Allmänt > Programuppdatering.)

Även enheter som redan fick ett Rapid Security Response i början av mars 2023 har en noll-dag kvar att patcha.

Och alla plattformar har fått många andra säkerhetskorrigeringar för buggar som kan utnyttjas för attacker så olika som: att kringgå integritetsinställningar; åtkomst till privata data från låsskärmen; läsa din platsinformation utan tillstånd; spionera på nätverkstrafik från andra appar; och mer.

Efter uppdateringen bör du se följande versionsnummer:

• watchOS: nu i version 9.5
• tvOS: nu i version 16.5
• iOS 15 och iPadOS 15: nu i version 15.7.6
• iOS 16 och iPadOS 16: nu i version 16.5
• macOS Big Sur: nu på 11.7.7
• macOS Monterey: nu på 12.6.6
• macOS Ventura: nu på 13.4

Viktig anmärkning: om du har macOS Big Sur eller macOS Monterey, är dessa viktiga WebKit-korrigeringar inte paketerade med versionsuppdateringen av operativsystemet utan levereras i ett separat uppdateringspaket som heter Safari 16.5.

Ha så kul!

---

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
• Minting the Future med Adryenn Ashley. Tillgång här.
• Köp och sälj aktier i PRE-IPO-företag med PREIPO®. Tillgång här.
• Källa: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/