Закон Беттеріджа про заголовки наполягає на тому, що на будь-який заголовок, поставлений як запитання, можна миттєво відповісти простим «Ні».
Очевидно, теорія, що стоїть за цією дотепністю (насправді це не закон, і не правило, і навіть не щось більше, ніж припущення) полягає в тому, що якби автор знав, про що говорив, і мав реальні докази на підтримку своєї позиції, вони написали б заголовок як чистий факт.
Що ж, ми тут не журналісти Naked Security, тому, на щастя, ми не зв’язані цим законом.
Безжальна відповідь на наше власне запитання в заголовку вище: «Ніхто не знає, крім Apple, і Apple не говорить».
Краща, але, за загальним визнанням, проміжна відповідь: "Почекайте і побачите."
Швидкі реакції
Ця історія почалася вчора пізно, наприкінці 2023-06-10 за британським часом, коли ми схвильовано [Ви маєте на увазі "збуджено"? – Ред.] написав пораду про Apple другий в історії Швидке реагування безпеки (RSR):
Ці RSR, як і ми пояснювалося раніше, намагання Apple надавати екстрені виправлення окремих проблем так швидко, як це зазвичай роблять добре керовані проекти з відкритим вихідним кодом, де латки нульового дня часто з’являються протягом одного-двох днів після виявлення проблеми з оновленнями до оновлень. негайно, якщо подальші розслідування виявлять додаткові проблеми, які потребують усунення.
Одна з причин, чому проекти з відкритим кодом можуть використовувати такий підхід, полягає в тому, що вони зазвичай надають сторінку завантаження з повним вихідним кодом кожної офіційно випущеної версії, тому якщо ви поспішаєте прийняти останні виправлення за години, а не за дні або тижнів, і вони не працюють, немає жодних перешкод для повернення до попередньої версії, доки не буде готове виправлення за виправлення.
Проте офіційний шлях оновлення Apple, принаймні для її мобільних пристроїв, завжди полягав у постачанні повних виправлень системного рівня, які ніколи не можна відкотити, оскільки Apple не подобається ідея, коли користувачі навмисно знижують версію своїх власних систем, щоб використовувати старі помилки з метою джейлбрейка власних пристроїв або встановлення альтернативних операційних систем.
У результаті, навіть коли Apple видала екстрені виправлення однієї або двох помилок для дірок нульового дня, які вже активно використовувалися, компанії потрібно було придумати (і вам потрібно було повірити в те), що, по суті, було односторонній модернізація, навіть якщо все, що вам насправді потрібно, це мінімалістичний оновлення до одного компонента системи, щоб виправити явну та наявну небезпеку.
Увійдіть у процес RSR, дозволяючи швидкі виправлення, які можна швидко інсталювати, які не потребують відключення телефону від 15 до 45 хвилин повторних перезавантажень, і які ви можете пізніше видалити (і перевстановити, і видалити, і і так далі), якщо ви вирішите, що лікування було гірше, ніж хвороба.
Помилки, тимчасово виправлені за допомогою RSR, будуть остаточно виправлені під час наступного оновлення повної версії…
…так що RSR не потребують або отримують цілий новий власний номер версії.
Натомість до них додається літера послідовності, щоб перша швидка відповідь безпеки для iOS 16.5.1 (яка вийшла вчора) відображалася в Налаштування > Загальне > МЕНЮ as 16.5.1 (а).
(Ми не знаємо, що станеться, якщо послідовність коли-небудь пропаде (z)
, але ми готові зробити невелику ставку на відповідь (aa)
чи, може, (za)
якщо сортування за алфавітом вважається важливим.)
Сьогодні тут, завтра немає
У будь-якому випадку, лише через кілька годин після поради всім отримати iOS та iPadOS 16.5.1 (a), оскільки він виправляє експлойт нульового дня в коді Apple WebKit і тому майже напевно може бути використаний для шкідливих програм, таких як імплантація шпигунського програмного забезпечення або захоплення особисті дані з вашого телефону…
…коментатори (особлива подяка Джону Майклу Леслі, який розміщені на нашій сторінці у Facebook) почали повідомляти, що оновлення більше не відображається, коли вони використовували Налаштування > Загальне > Оновлення програмного забезпечення щоб спробувати оновити свої пристрої.
Apple власне портал безпеки все ще містить список [2023-07-11T15:00:00Z] останніх оновлень як macOS 13.4.1 (a) та iOS/iPadOS 16.5.1 (a), датований 2023, без приміток про те, чи їх офіційно призупинено.
але звіти через сайт MacRumors припускають, що оновлення на даний момент скасовано.
Однією з запропонованих причин є те, що браузер Apple Safari тепер ідентифікує себе у веб-запитах за допомогою рядка User-Agent, який містить додаток (a)
у номері версії.
Ось що ми побачили, коли спрямували наш оновлений браузер Safari на iOS на TCP-сокет, який прослуховує (відформатований із розривами рядків для кращої читабельності):
$ ncat -vv -l 9999 Ncat: Версія 7.94 ( https://nmap.org/ncat ) Ncat: Прослуховується :::9999 Ncat: Прослуховується 0.0.0.0:9999 Ncat: З’єднання з 10.42.42.1. Ncat: підключення з 10.42.42.1:13337. GET / HTTP/1.1 Хост: 10.42.42.42:9999 Upgrade-Insecure-Requests: 1 Accept: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; ЦП iPhone OS 16_5_1 як Mac OS X) AppleWebKit/605.1.15 (KHTML, як Gecko) Версія/16.5.2 (a) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate Connection: keep-alive NCAT DEBUG: Fd 5 закриття.
За словами деяких коментаторів MacRumors, це Version/
Рядок, що складається зі звичайних цифр і крапок разом із дивним і неочікуваним текстом у круглих дужках, заплутує деякі веб-сайти.
(За іронією долі, сайти, які ми бачили звинувачуваними в цій, очевидно, грі з помилковим аналізом версії-рядка, здається, є службами, до яких набагато частіше звертаються спеціальні програми, ніж через браузер, але теорія, здається, що вони, очевидно, задихнутися цим 16.5.2 (a)
ідентифікатор версії, якщо ви вирішите відвідати їх з оновленою версією Safari.)
Що ж робити?
Власне кажучи, тільки Apple знає, що тут відбувається, і це не говорить. (Принаймні, не офіційно через портал безпеки (HT201222) або її Про швидке реагування безпеки сторінка (HT201224.)
Ми рекомендуємо, якщо у вас уже є оновлення, не видаляти його, якщо воно справді не заважає вашій можливості використовувати свій телефон із веб-сайтами чи програмами, потрібними для роботи, або якщо ваш власний ІТ-відділ прямо не скаже вам відкотитися. до «не-(a)» смаку macOS, iOS або iPadOS.
Зрештою, це оновлення було визнано придатним для швидкого реагування, тому що експлойт, який воно виправляє, є дірою у віддаленому виконанні коду (RCE) на основі браузера.
Якщо вам потрібно або хочете видалити RSR, ви можете зробити це:
- Якщо у вас є iPhone або iPad. До Налаштування > Загальне > МЕНЮ > Версія iOS/iPadOS І вибирай Видалити відповідь безпеки.
- Якщо у вас Mac. До Налаштування системи > Загальне > МЕНЮ і натисніть кнопку
(i)
піктограма в кінці елемента під назвою macOS приходить.
Зауважте, що ми одразу встановили RSR на macOS Ventura 13.4.1 та iOS 16.5.1 і не мали жодних проблем із переглядом наших звичайних веб-сторінок через Safari чи Edge. (Пам’ятайте, що всі браузери використовують WebKit на мобільних пристроях Apple!)
Тому ми не маємо наміру видаляти оновлення, і ми не хочемо робити це експериментально, тому що ми не маємо уявлення, чи зможемо ми знову його інсталювати згодом.
Коментатори припустили, що про виправлення просто не повідомляється, коли вони намагаються виправити його з пристрою без виправлень, але ми не пробували повторно виправляти раніше виправлений пристрій, щоб перевірити, чи це дає вам чарівний квиток для повторного отримання оновлення.
Простіше кажучи:
- Якщо ви вже завантажили macOS 13.4.1 (a) або iOS/iPadOS 16.5.1 (a), зберігайте оновлення, якщо вам абсолютно не потрібно його позбутися, враховуючи, що воно захищає вас від діри нульового дня.
- Якщо ви встановили його та справді потребуєте або хочете його видалити, дивіться наші інструкції вище, але припускайте, що ви не зможете перевстановити його пізніше, і тому віднесете себе до третьої категорії нижче.
- Якщо ви його ще не отримали, подивіться цей простір. Ми припускаємо, що
(a)
патч буде швидко замінено на a(b)
патч, тому що вся ідея цих «буквених оновлень» полягає в тому, що вони призначені для швидкого реагування. Але напевно знає тільки Apple.
Ми виправимо нашу звичайну вчорашню пораду, сказавши: Не зволікайте; зробіть це, як тільки Apple і ваш пристрій дозволять вам.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/
- : має
- :є
- : ні
- :де
- $UP
- 1
- 10
- 13
- 15%
- 16
- 25
- 7
- 8
- 9
- a
- здатність
- Здатний
- МЕНЮ
- вище
- абсолют
- абсолютно
- Прийняти
- доступний
- активно
- насправді
- прийняти
- рада
- консультування
- консультативний
- після
- потім
- знову
- проти
- ВСІ
- Дозволити
- по
- вже
- альтернатива
- завжди
- an
- та
- відповідь
- будь-який
- все
- Apple
- підхід
- додатка
- ЕСТЬ
- AS
- припустити
- At
- автор
- автоматичний
- геть
- назад
- фонове зображення
- бар'єр
- BE
- оскільки
- було
- за
- буття
- нижче
- Краще
- border
- дно
- пов'язаний
- ламається
- браузер
- браузери
- Перегляд
- помилки
- але
- by
- прийшов
- CAN
- випадок
- Категорія
- Центр
- звичайно
- Вибирати
- ясно
- клацання
- закриття
- код
- color
- Приходити
- коментатори
- зазвичай
- компанія
- компонент
- заплутаний
- зв'язку
- вважається
- Складається
- може
- обкладинка
- центральний процесор
- лікування
- НЕБЕЗПЕЧНО
- дані
- датований
- день
- Днів
- вирішувати
- присвячених
- вважається
- затримка
- доставляти
- відділ
- пристрій
- прилади
- Захворювання
- дисплей
- displayed
- do
- робить
- Ні
- Не знаю
- скачати
- ed
- край
- зусилля
- аварійний
- кінець
- Озаглавлений
- по суті
- Навіть
- НІКОЛИ
- Кожен
- все
- докази
- Крім
- виконання
- Експлуатувати
- експлуатований
- факт
- віра
- кілька
- Перший
- фіксованою
- після
- для
- На щастя
- знайдений
- від
- Повний
- далі
- в цілому
- отримати
- даний
- дає
- Go
- йде
- буде
- пішов
- було
- відбувається
- Мати
- headline
- Headlines
- висота
- тут
- Hole
- Отвори
- господар
- ГОДИННИК
- hover
- Однак
- HTTPS
- i
- ICON
- ідея
- ідентифікатор
- ідентифікує
- if
- важливо
- удосконалювати
- in
- includes
- встановлювати
- установка
- негайно
- інструкції
- мати намір
- в
- Дослідження
- iOS
- IPad
- iPadOS
- iPhone
- Як не дивно
- питання
- IT
- ЙОГО
- сам
- джейлбрейка
- Джон
- журналісти
- просто
- тримати
- Знати
- Пізно
- пізніше
- останній
- закон
- найменш
- залишити
- лист
- як
- Лінія
- Прослуховування
- списки
- довше
- макінтош
- MacOS
- макроруми
- магія
- шкідливих програм
- Маржа
- макс-ширина
- значити
- означав
- Майкл
- протокол
- Mobile
- мобільні пристрої
- більше
- найбільш
- багато
- Гола безпека
- Необхідність
- необхідний
- нужденних
- ніколи
- Нові
- наступний
- немає
- ні
- нормальний
- примітки
- зараз
- номер
- номера
- of
- Офіційно
- offline
- часто
- Старий
- on
- ONE
- тільки
- відкрити
- з відкритим вихідним кодом
- проекти з відкритим кодом
- операційний
- операційні системи
- or
- порядок
- OS
- OS X
- наші
- з
- власний
- сторінка
- Минуле
- пластир
- Патчі
- шлях
- Пол
- може бути
- постійно
- телефон
- PHP
- plato
- Інформація про дані Платона
- PlatoData
- Портал
- положення
- Пости
- представити
- попередній
- приватний
- Проблема
- проблеми
- процес
- Вироблений
- проект
- проектів
- забезпечувати
- Тягне
- мета
- put
- питання
- швидко
- швидко
- швидше
- готовий
- реальний
- насправді
- причина
- останній
- відносний
- запам'ятати
- віддалений
- видаляти
- повторний
- замінити
- Повідомляється
- Звітність
- запитів
- вимагати
- відповідь
- відповіді
- результат
- показувати
- позбавитися
- право
- Котити
- Прокат
- рухомий
- круглий
- RSR
- Правило
- порив
- Safari
- бачив
- приказка
- забезпечення
- безпеку
- побачити
- здається
- Здається,
- бачив
- Послідовність
- Послуги
- Короткий
- показ
- простий
- просто
- сайт
- сайти
- невеликий
- So
- solid
- деякі
- Скоро
- Source
- вихідні
- Простір
- розмова
- спеціальний
- шпигунських програм
- почалася
- Як і раніше
- Історія
- рядок
- такі
- пропонувати
- підходящий
- поставка
- підтримка
- Переконайтеся
- підвісний
- SVG
- система
- Systems
- Приймати
- говорити
- розповідає
- ніж
- Дякую
- Що
- Команда
- їх
- Їх
- теорія
- отже
- Ці
- вони
- третій
- це
- хоча?
- квиток
- час
- до
- сьогодні
- топ
- перехід
- прозорий
- намагався
- намагатися
- два
- Uk
- Unexpected
- до
- Оновити
- оновлений
- Updates
- модернізація
- URL
- використання
- використовуваний
- користувачі
- зазвичай
- версія
- через
- візит
- хотіти
- було
- годинник
- we
- Web
- веб-комплект
- веб-сайти
- тижня
- були
- Що
- коли
- Чи
- який
- ВООЗ
- всі
- волі
- готовий
- з
- в
- Work
- тренування
- гірше
- письмовий
- X
- вчора
- ще
- ви
- вашу
- себе
- зефірнет