โปรดจำไว้ว่าการอัปเดตแบบซิปรูด แต่รวดเร็วเป็นพิเศษนั้น Apple ผลักออกไปเมื่อสามสัปดาห์ก่อน, วันที่ 2023-05-01?
การอัปเดตนั้นเป็นครั้งแรกในรูปลักษณ์ใหม่ของ Apple การตอบสนองด้านความปลอดภัยอย่างรวดเร็ว กระบวนการ โดยบริษัทสามารถออกแพตช์ที่สำคัญสำหรับส่วนประกอบของระบบที่สำคัญโดยไม่ต้องผ่านการอัปเดตระบบปฏิบัติการขนาดเต็มที่จะนำคุณไปสู่หมายเลขเวอร์ชันใหม่
ขณะที่เราไตร่ตรองในพอดคาสต์ Naked Securirty ในสัปดาห์นั้น:
Apple เพิ่งเปิดตัว "การตอบสนองด้านความปลอดภัยอย่างรวดเร็ว" มีคนรายงานว่าพวกเขาใช้เวลาไม่กี่วินาทีในการดาวน์โหลดและต้องการการรีบูตเครื่องอย่างรวดเร็วเพียงครั้งเดียว [แต่] สำหรับการเป็นคนปากแข็ง [เกี่ยวกับการอัปเดต] พวกเขาจะถูกปิดปาก ไม่มีข้อมูลอย่างแน่นอนว่ามันเกี่ยวกับอะไร แต่มันก็ดีและรวดเร็ว!
ดีสำหรับบางคน
น่าเสียดายที่ Rapid Security Responses ใหม่นี้ใช้ได้เฉพาะกับ macOS เวอร์ชั่นล่าสุด (ปัจจุบันคือ Ventura) และ iOS/iPadOS ล่าสุด (ปัจจุบันเป็นเวอร์ชั่น 16) ซึ่งทำให้ผู้ใช้ Mac และ iDevices รุ่นเก่า รวมถึงเจ้าของ Apple Watch และ Apple TV ในความมืด
คำอธิบายของ Apple เกี่ยวกับแพตช์ใหม่อย่างรวดเร็วบ่งบอกเป็นนัยว่าโดยทั่วไปแล้วพวกเขาจะจัดการกับบั๊กแบบ Zero-day ที่ส่งผลกระทบต่อซอฟต์แวร์หลัก เช่น เบราว์เซอร์ Safari และ WebKit ซึ่งเป็นเครื่องมือแสดงผลเว็บที่ทุกเบราว์เซอร์จำเป็นต้องใช้บน iPhone และ iPad
ในทางเทคนิค คุณสามารถสร้างแอปเบราว์เซอร์สำหรับ iPhone หรือ iPad ที่ใช้เครื่องมือ Chromium เช่นเดียวกับที่ Chrome และ Edge ทำ หรือใช้กลไก Gecko เช่นเดียวกับเบราว์เซอร์ของ Mozilla แต่ Apple จะไม่ปล่อยให้แอปดังกล่าวเข้าสู่ App Store หากคุณทำเช่นนั้น
และเนื่องจาก App Store เป็นแหล่งแอป "walled garden" หนึ่งเดียวสำหรับอุปกรณ์พกพาของ Apple นั่นคือนั่นคือแนวทางของ WebKit หรือไม่มีทางเลย
เหตุผลที่จุดบกพร่องที่สำคัญของ WebKit มีแนวโน้มที่จะเป็นอันตรายมากกว่าจุดบกพร่องในแอปพลิเคชันอื่นๆ มากมาย เนื่องจากเบราว์เซอร์ตั้งใจใช้เวลาในการเรียกเนื้อหาจากทุกที่และทุกแห่งบนอินเทอร์เน็ต
จากนั้นเบราว์เซอร์จะประมวลผลไฟล์ที่ไม่น่าเชื่อถือเหล่านี้ ซึ่งจัดหามาจากระยะไกลโดยเว็บเซิร์ฟเวอร์ของผู้อื่น แปลงให้เป็นเนื้อหาที่ดูได้และคลิกได้ และแสดงเป็นหน้าเว็บที่คุณสามารถโต้ตอบด้วยได้
คุณคาดหวังว่าเบราว์เซอร์ของคุณจะเตือนคุณอย่างแข็งขันและขออนุญาตอย่างชัดเจนก่อนที่จะดำเนินการที่อาจเป็นอันตราย เช่น การเปิดใช้งานเว็บแคมของคุณ การอ่านไฟล์ที่จัดเก็บไว้ในอุปกรณ์ของคุณแล้ว หรือการติดตั้งซอฟต์แวร์ใหม่
แต่คุณยังคาดหวังว่าเนื้อหาที่ไม่ถือว่าเป็นอันตรายโดยตรง เช่น รูปภาพที่จะแสดง วิดีโอที่จะแสดง ไฟล์เสียงที่จะเล่น และอื่นๆ จะได้รับการประมวลผลและนำเสนอให้คุณโดยอัตโนมัติ
พูดง่ายๆก็คือ การเยี่ยมชม หน้าเว็บไม่ควรทำให้คุณเสี่ยงต่อการถูกฝังมัลแวร์บนอุปกรณ์ของคุณ ข้อมูลของคุณถูกขโมย รหัสผ่านของคุณถูกดักจับ ชีวิตดิจิทัลของคุณอยู่ภายใต้สปายแวร์ หรือการประพฤติมิชอบใดๆ ในลักษณะนั้น
เว้นแต่จะมีข้อบกพร่อง
แน่นอนว่า เว้นแต่จะมีข้อบกพร่องใน WebKit (หรืออาจมีข้อบกพร่องหลายอย่างที่สามารถรวมกันในเชิงกลยุทธ์ได้) ดังนั้นเพียงแค่เตรียมไฟล์รูปภาพหรือวิดีโอหรือป๊อปอัป JavaScript ที่ติดกับดักโดยเจตนา เบราว์เซอร์ของคุณอาจถูกหลอกให้ทำบางสิ่งได้ มันไม่ควร
หากอาชญากรไซเบอร์ ผู้ขายสปายแวร์ หรือผู้แหกคุก หรือบริการด้านความปลอดภัยของรัฐบาลที่ไม่ชอบคุณ หรือใครก็ตามที่หวังผลประโยชน์กับคุณมากที่สุด ค้นพบข้อบกพร่องในลักษณะนี้ พวกเขาอาจสามารถประนีประนอมความปลอดภัยทางไซเบอร์ได้ ของอุปกรณ์ทั้งหมดของคุณ…
…เพียงแค่หลอกล่อคุณไปยังเว็บไซต์ที่ดูไร้เดียงสาซึ่งควรจะปลอดภัยอย่างสมบูรณ์ในการเข้าชม
Apple เพิ่งติดตามแพตช์ Rapid Security Resonse ล่าสุดพร้อมอัปเดตเต็มรูปแบบสำหรับผลิตภัณฑ์ที่รองรับทั้งหมด และในกระดานข่าวด้านความปลอดภัยสำหรับแพตช์เหล่านั้น ในที่สุดเราก็พบว่า Rapid Responses คืออะไร ที่นั่นเพื่อแก้ไข.
สองวันที่ศูนย์:
- CVE-2023-28204: WebKit การอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น การประมวลผลเนื้อหาเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อน Apple รับทราบรายงานที่ว่าปัญหานี้อาจถูกนำไปใช้อย่างแข็งขัน
- CVE-2023-32373: WebKit ปัญหาการใช้งานหลังจากใช้งานฟรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ Apple รับทราบรายงานที่ว่าปัญหานี้อาจถูกนำไปใช้อย่างแข็งขัน
โดยทั่วไปแล้ว เมื่อ Zero-day ประเภทนี้ปรากฏขึ้นพร้อมกันใน WebKit ก็เป็นทางออกที่ดีที่อาชญากรจะรวมตัวกันเพื่อสร้างการโจมตีแบบสองขั้นตอน
บั๊กที่ทำให้หน่วยความจำเสียหายโดยการเขียนทับข้อมูลที่ไม่ควรแตะต้อง (เช่น CVE-2023-32373) มักจะแย่เสมอ แต่ระบบปฏิบัติการสมัยใหม่มีการป้องกันรันไทม์มากมายที่มีเป้าหมายเพื่อหยุดบั๊กดังกล่าวที่ถูกโจมตีเพื่อควบคุมโปรแกรมบั๊กกี้
ตัวอย่างเช่น หากระบบปฏิบัติการสุ่มเลือกตำแหน่งที่โปรแกรมและข้อมูลจะจบลงในหน่วยความจำ อาชญากรไซเบอร์มักทำอะไรไม่ได้มากไปกว่าการทำให้โปรแกรมที่มีช่องโหว่เสียหาย เพราะพวกเขาไม่สามารถคาดเดาได้ว่าโค้ดที่โจมตีนั้นวางอยู่ในหน่วยความจำอย่างไร .
แต่ด้วยข้อมูลที่แม่นยำเกี่ยวกับสิ่งที่อยู่ การเจาะระบบที่หยาบและ “ผิดพลาด” บางครั้งอาจกลายเป็นการเจาะระบบแบบ การเรียกใช้โค้ดจากระยะไกล รู
แน่นอน ข้อบกพร่องที่ทำให้ผู้โจมตีสามารถอ่านจากตำแหน่งหน่วยความจำที่พวกเขาไม่ควร (เช่น CVE-2023-28204) ไม่เพียงนำไปสู่การรั่วไหลของข้อมูลโดยตรงและการแสวงหาประโยชน์จากการโจรกรรมข้อมูลเท่านั้น แต่ยังนำไปสู่ทางอ้อมเพื่อ ควบคุม” การโจมตี โดยเปิดเผยความลับเกี่ยวกับโครงร่างหน่วยความจำภายในโปรแกรม และทำให้ง่ายต่อการยึดครอง
ที่น่าประหลาดใจคือ มีแพทช์ Zero-day ตัวที่สามในการอัปเดตล่าสุด แต่ดูเหมือนว่าจะไม่ได้รับการแก้ไขใน Rapid Security Response
- CVE-2023-32409: WebKit ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ผู้โจมตีจากระยะไกลอาจสามารถแยกออกจากแซนด์บ็อกซ์ของเนื้อหาเว็บได้ Apple รับทราบรายงานที่ว่าปัญหานี้อาจถูกนำไปใช้อย่างแข็งขัน
อย่างที่คุณจินตนาการได้ การรวม Zero-days ทั้งสามนี้จะเทียบเท่ากับการโจมตีจากบ้านไปหาผู้โจมตี: ข้อผิดพลาดแรกเปิดเผยความลับที่จำเป็นในการใช้ประโยชน์จากข้อบกพร่องที่สองอย่างน่าเชื่อถือ และข้อผิดพลาดที่สองอนุญาตให้ฝังโค้ดเพื่อใช้ประโยชน์จากข้อผิดพลาดที่สาม …
… ณ จุดนั้น ผู้โจมตีไม่เพียงแต่เข้ายึด “สวนที่มีกำแพงล้อมรอบ” ของหน้าเว็บปัจจุบันของคุณเท่านั้น แต่ยังเข้าควบคุมเบราว์เซอร์ทั้งหมดของคุณ หรือแย่กว่านั้น
จะทำอย่างไร?
ตรวจสอบให้แน่ใจว่าคุณได้รับการแก้ไขแล้ว! (ไปที่ การตั้งค่า > General > การอัปเดตซอฟต์แวร์)
แม้แต่อุปกรณ์ที่ได้รับ Rapid Security Response แล้วเมื่อต้นเดือนมีนาคม 2023 ก็ยังต้องแพตช์ Zero-day
และทุกแพลตฟอร์มได้รับการแก้ไขด้านความปลอดภัยอื่นๆ มากมายสำหรับจุดบกพร่องที่อาจนำไปใช้โจมตีได้หลากหลาย เช่น การข้ามการตั้งค่าความเป็นส่วนตัว เข้าถึงข้อมูลส่วนตัวจากหน้าจอล็อก อ่านข้อมูลตำแหน่งของคุณโดยไม่ได้รับอนุญาต การสอดแนมการรับส่งข้อมูลเครือข่ายจากแอพอื่น และอื่น ๆ.
หลังจากอัปเดต คุณจะเห็นหมายเลขเวอร์ชันต่อไปนี้:
- วอทช์โอเอส: ตอนนี้อยู่ที่เวอร์ชัน 9.5
- ระบบปฏิบัติการทีวี: ตอนนี้อยู่ที่เวอร์ชัน 16.5
- iOS 15 และ iPadOS 15: ตอนนี้อยู่ที่เวอร์ชัน 15.7.6
- iOS 16 และ iPadOS 16: ตอนนี้อยู่ที่เวอร์ชัน 16.5
- macOS บิ๊กซูร์: ตอนนี้ที่ 11.7.7
- macOS มอนเทอเรย์: ตอนนี้ที่ 12.6.6
- macOS เวนทูรา: ตอนนี้ที่ 13.4
หมายเหตุสำคัญ: หากคุณมี macOS Big Sur หรือ macOS Monterey แพตช์ WebKit ที่สำคัญทั้งหมดเหล่านั้นจะไม่รวมอยู่ในการอัปเดตเวอร์ชันของระบบปฏิบัติการ แต่จะให้มาในแพ็คเกจการอัปเดตแยกต่างหากที่เรียกว่า Safari ฮิต.
Have fun!
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ซื้อและขายหุ้นในบริษัท PRE-IPO ด้วย PREIPO® เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 1
- ลด 15%
- 2023
- 7
- a
- สามารถ
- เกี่ยวกับเรา
- แน่นอน
- อย่างแน่นอน
- การเข้าถึง
- การปฏิบัติ
- การเปิดใช้งาน
- อย่างกระตือรือร้น
- จุดมุ่งหมาย
- ทั้งหมด
- ช่วยให้
- แล้ว
- ด้วย
- เสมอ
- an
- และ
- ใด
- ทุกคน
- ทุกแห่ง
- app
- แอปสโตร์
- Apple
- การใช้งาน
- ปพลิเคชัน
- เป็น
- AS
- At
- โจมตี
- โจมตี
- การโจมตี
- เสียง
- ผู้เขียน
- รถยนต์
- อัตโนมัติ
- ใช้ได้
- ทราบ
- background-image
- ไม่ดี
- BE
- เพราะ
- รับ
- ก่อน
- กำลัง
- เดิมพัน
- ใหญ่
- ชายแดน
- ด้านล่าง
- ทำลาย
- ระอุ
- เบราว์เซอร์
- เบราว์เซอร์
- Bug
- เป็นโรคจิต
- รวม
- แต่
- by
- ที่เรียกว่า
- CAN
- ศูนย์
- การตรวจสอบ
- Chrome
- โครเมียม
- รหัส
- สี
- รวม
- การรวมกัน
- บริษัท
- ส่วนประกอบ
- การประนีประนอม
- ถือว่า
- เนื้อหา
- ควบคุม
- แปลง
- แกน
- ได้
- หลักสูตร
- หน้าปก
- Crash
- สร้าง
- อาชญากร
- วิกฤติ
- หยาบ
- ปัจจุบัน
- ขณะนี้
- อาชญากรไซเบอร์
- cybersecurity
- Dangerous
- มืด
- ข้อมูล
- การรั่วไหลของข้อมูล
- จัดการ
- ลักษณะ
- เครื่อง
- อุปกรณ์
- DID
- ดิจิตอล
- โดยตรง
- เปิดเผย
- แสดง
- do
- ไม่
- การทำ
- ดาวน์โหลด
- e
- ง่ายดาย
- ขอบ
- ปลาย
- เครื่องยนต์
- ทั้งหมด
- เท่ากัน
- ทุกๆ
- ตัวอย่าง
- การปฏิบัติ
- คาดหวัง
- เอาเปรียบ
- ใช้ประโยชน์
- การหาประโยชน์
- เนื้อไม่มีมัน
- ไฟล์
- ในที่สุด
- ชื่อจริง
- การแก้ไข
- ตาม
- ดังต่อไปนี้
- สำหรับ
- พบ
- ราคาเริ่มต้นที่
- Go
- ไป
- ดี
- รัฐบาล
- มี
- มี
- หัวใจสำคัญ
- ความสูง
- รู
- หน้าแรก
- โฉบ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- if
- ภาพ
- ภาพ
- ภาพ
- โดยนัย
- การปรับปรุง
- in
- ประกอบด้วย
- โดยอ้อม
- ข้อมูล
- อินพุต
- การติดตั้ง
- จงใจ
- โต้ตอบ
- ผลประโยชน์
- อินเทอร์เน็ต
- เข้าไป
- แนะนำ
- iPad
- iPadOS
- iPhone
- ปัญหา
- IT
- ITS
- JavaScript
- เพียงแค่
- คีย์
- ที่รู้จักกัน
- ล่าสุด
- อัพเดทล่าสุด
- แบบ
- นำ
- ซ้าย
- ชีวิต
- กดไลก์
- ที่ตั้ง
- วันหยุด
- MacOS
- การทำ
- มัลแวร์
- การจัดการ
- หลาย
- มีนาคม
- ขอบ
- ความกว้างสูงสุด
- อาจ..
- หน่วยความจำ
- แค่
- โทรศัพท์มือถือ
- อุปกรณ์มือถือ
- ทันสมัย
- ข้อมูลเพิ่มเติม
- มาก
- ชื่อ
- จำเป็น
- เครือข่าย
- การรับส่งข้อมูลเครือข่าย
- ใหม่
- ดี
- ไม่
- ปกติ
- ตอนนี้
- จำนวน
- ตัวเลข
- of
- มักจะ
- on
- ONE
- เพียง
- การดำเนินงาน
- ระบบปฏิบัติการ
- ระบบปฏิบัติการ
- or
- อื่นๆ
- มิฉะนั้น
- ออก
- เกิน
- เจ้าของ
- แพ็คเกจ
- หน้า
- รหัสผ่าน
- ปะ
- แพทช์
- พอล
- คน
- ของผู้คน
- ที่มีประสิทธิภาพ
- บางที
- การอนุญาต
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- พอดคาสต์
- จุด
- ตำแหน่ง
- โพสต์
- ที่อาจเกิดขึ้น
- จำเป็นต้อง
- คาดการณ์
- การตั้งค่า
- การเตรียมความพร้อม
- นำเสนอ
- ความเป็นส่วนตัว
- ส่วนตัว
- กระบวนการ
- การประมวลผล
- ผลิตภัณฑ์
- โครงการ
- โปรแกรม
- ผลัก
- ใส่
- รวดเร็ว
- อ่าน
- การอ่าน
- เหตุผล
- ที่ได้รับ
- รีโมท
- การแสดงผล
- รายงาน
- การรายงาน
- ขอ
- ต้องการ
- คำตอบ
- การตอบสนอง
- เผยให้เห็น
- เผย
- ขวา
- ความเสี่ยง
- วิ่ง
- Safari
- ปลอดภัย
- เดียวกัน
- Sandbox
- ที่สอง
- วินาที
- ลับ
- ความปลอดภัย
- เห็น
- ผู้ขาย
- มีความละเอียดอ่อน
- แยก
- บริการ
- หลาย
- ข้อบกพร่องหลายอย่าง
- น่า
- โชว์
- แสดง
- So
- ซอฟต์แวร์
- ของแข็ง
- บางสิ่งบางอย่าง
- แหล่ง
- การพูด
- ใช้จ่าย
- การสอดแนม
- สปายแวร์
- เริ่มต้น
- ยังคง
- ที่ถูกขโมย
- หยุด
- จัดเก็บ
- เก็บไว้
- กลยุทธ์
- อย่างเช่น
- ที่จัดมา
- ที่สนับสนุน
- ควร
- SVG
- ระบบ
- ระบบ
- เอา
- การครอบครอง
- ใช้เวลา
- กว่า
- ที่
- พื้นที่
- การโจรกรรม
- ของพวกเขา
- พวกเขา
- แล้วก็
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- ที่สาม
- นี้
- เหล่านั้น
- สาม
- ตลอด
- เวลา
- ไปยัง
- ด้านบน
- สัมผัส
- การจราจร
- การเปลี่ยนแปลง
- โปร่งใส
- หัน
- สอง
- เป็นปกติ
- บันทึก
- การปรับปรุง
- การปรับปรุง
- URL
- ใช้
- ใช้หลังฟรี
- มือสอง
- ผู้ใช้
- การตรวจสอบ
- รุ่น
- มาก
- วีดีโอ
- วิดีโอ
- เยี่ยมชมร้านค้า
- อ่อนแอ
- คือ
- นาฬิกา
- ทาง..
- we
- เว็บ
- เว็บแคม
- เว็บคิท
- Website
- สัปดาห์
- สัปดาห์ที่ผ่านมา
- ดี
- คือ
- อะไร
- เมื่อ
- ที่
- จะ
- กับ
- ไม่มี
- แย่ลง
- แย่ที่สุด
- จะ
- เธอ
- ของคุณ
- ลมทะเล