Vi har väntat på iOS 16, med tanke på Apples senaste evenemang där iPhone 14 och andra uppgraderade hårdvaruprodukter lanserades för allmänheten.
I morse gjorde vi en Inställningar > Allmänt > Programuppdatering, för säkerhets skull…
...men ingenting dök upp.
Men en stund strax före 8 i kväll brittisk tid [2022-09-12T18:31Z] föll en mängd uppdateringsmeddelanden in i vår inkorg och tillkännagav en nyfiken blandning av nya och uppdaterade Apple-produkter.
Redan innan vi läste igenom bulletinerna försökte vi Inställningar > Allmänt > Programuppdatering igen, och den här gången erbjöds vi en uppgradering till iOS 15.7, med en alternativ uppgradering som skulle ta oss direkt till iOS 16:
En uppdatering och en uppgradering tillgängliga på samma gång!
(Vi gick för uppgraderingen till iOS 16 – nedladdningen var strax under 3 GB, men när den väl laddats ner gick processen snabbare än vi förväntat oss, och allt verkar fungera bra än så länge.)
Se till att uppdatera även om du inte uppgraderar
Bara för att vara tydlig, om du inte vill uppgradera till iOS 16 ännu behöver du fortfarande uppdatering, eftersom iOS 15.7 och iPadOS 15.7 uppdateringar inkluderar många säkerhetskorrigeringar, inklusive en korrigering av en bugg som dubbats CVE-2022-32917.
Buggan, vars upptäckt krediteras helt enkelt "en anonym forskare", beskrivs på följande sätt:
[Bug patched in:] Kernel Tillgänglig för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare, och iPod touch (7:e generationen) Effekt: En applikationen kanske kan köra godtycklig kod med kärnbehörighet. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt. Beskrivning: Problemet åtgärdades med förbättrade gränskontroller.
Som vi påpekade när Apples sista nolldagsplåster för nödsituationer kom ut, innebär en bugg för körning av kärnkod att även appar som ser oskyldigt ut (kanske inklusive appar som kom in i App Store eftersom de inte lyfte några uppenbara röda flaggor när de undersöktes) kan spricka fri från Apples app-för-app säkerhetslåsning...
…och potentiellt ta över hela enheten, inklusive att ta rätten att utföra systemoperationer som att använda kameran eller kamerorna, aktivera mikrofonen, skaffa platsdata, ta skärmdumpar, snoka nätverkstrafik innan den krypteras (eller efter att den har dekrypterats) ), åtkomst till filer som tillhör andra appar och mycket mer.
Om verkligen detta "problem" (eller säkerhetshål som du kanske föredrar att kalla det) aktivt har utnyttjats i naturen, är det rimligt att dra slutsatsen att det finns appar där ute som intet ont anande användare redan har installerat, från vad de trodde var en pålitlig källa, även om dessa appar innehöll kod för att aktivera och missbruka denna sårbarhet.
Intressant nog får macOS 11 (Big Sur) sin egen uppdatering till MacOS 11.7, som lappar ett andra nolldagarshål dubbat CVE-2022-32894, beskriven med exakt samma ord som iOS nolldagsbulletinen som citeras ovan.
CVE-2022-32894 är dock endast listad som en Big Sur-bugg, med de nyare operativsystemversionerna macOS 12 (Monterey), iOS 15, iPadOS 15 och iOS 16 uppenbarligen opåverkade.
Kom ihåg att ett säkerhetshål som åtgärdades först efter att skurkarna redan hade kommit på hur man utnyttjar det är känt som en Zero-Day eftersom det fanns noll dagar under vilka även den mest angelägna användaren eller systemadministratören kunde ha patchat mot det proaktivt.
Hela historien
Uppdateringarna som annonseras i denna omgång av bulletiner inkluderar följande.
Vi har listat dem nedan i den ordning de kom via e-post (omvänd numerisk ordning) så att iOS 16 visas längst ned:
- APPLE-SA-2022-09-12-5: Safari 16. Den här uppdateringen gäller macOS Big Sur (version 11) och Monterey (version 12). Ingen Safari-uppdatering är listad för macOS 10 (Catalina). Två av de fixade buggarna kan leda till fjärrkörning av kod, vilket innebär att en booby-fångad webbplats kan implantera skadlig programvara på din dator (som sedan kan missbruka CVE-2022-32917 för att ta över på kärnnivå), även om ingen av dessa buggar är listade som nolldagar. (Ser HT213442.)
- APPLE-SA-2022-09-12-4: macOS Monterey 12.6 Den här uppdateringen kan betraktas som brådskande, med tanke på att den innehåller en fix för CVE-2022-32917. (Ser HT213444.)
- APPLE-SA-2022-09-12-3: macOS BigSur 11.7 En liknande del av patchar som de som anges ovan för macOS Monterey, inklusive CVE-2022-32917 zero-day. Den här Big Sur-uppdateringen korrigerar även CVE-2022-32894, den andra kärnans nolldag som beskrivs ovan. (Ser HT213443.)
- APPLE-SA-2022-09-12-2: iOS 15.7 och iPadOS 15.7 Som nämndes i början av artikeln, patchar dessa uppdateringar CVE-2022-32917. (Ser HT213445.)
- APPLE-SA-2022-09-12-1: iOS 16 Den stora! Förutom ett gäng nya funktioner inkluderar detta Safari-patchar som levereras separat för macOS (se överst på den här listan) och en fix för CVE-2022-32917. Spännande nog rekommenderar iOS 16-uppgraderingsbulletinen det "[a]ytterligare CVE-poster [kommer] att läggas till snart", men betecknar inte CVE-2022-23917 som en nolldag. Om det beror på att iOS 16 ännu inte officiellt betraktades som "i det vilda" själv, eller för att den kända exploateringen ännu inte fungerar på en oparpad iOS 16 Beta, kan vi inte berätta för dig. Men buggen verkar verkligen ha förts vidare från iOS 15 till iOS 16-kodbasen. (Ser HT213446.)
Vad göra?
Som alltid, Plåster tidigt, lappar ofta.
En komplett uppgradering från iOS 15 till iOS 16.0, som det rapporterar sig själv efter installationen, kommer att korrigera kända buggar i iOS 15. (Vi har ännu inte sett något tillkännagivande för iPadOS 16.)
Om du inte är redo för uppgraderingen än, se till att uppgradera till iOS 15.7, på grund av noll-dagars kärnhål.
På iPads, för vilka iOS 16 ännu inte nämns, ta tag iPadOS 15.7 just nu – häng inte tillbaka och vänta på att iPadOS 16 ska komma ut, med tanke på att du skulle lämna dig själv i onödan för ett känt exploateringsbart kärnfel.
På Mac-datorer får Monterey och Big Sur en dubbeluppdatering, en för att patcha Safari, vilket blir Safari 16, och en för själva operativsystemet, som tar dig till MacOS 11.7 (Big Sur) eller MacOS 12.6 (Monterey).
Ingen patch för iOS 12 den här gången, och inget omnämnande av macOS 10 (Catalina) – om Catalina nu inte längre stöds, eller helt enkelt för gammal för att inkludera någon av dessa buggar, kan vi inte berätta för dig.
Håll utkik i det här utrymmet för eventuella CVE-uppdateringar!
- Apple
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- brandvägg
- iOS
- kaspersky
- malware
- Mcafee
- Naken säkerhet
- NexBLOC
- OS X
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- VPN
- sårbarhet
- webbplats säkerhet
- zephyrnet
