Apple мовчки знімає своє останнє оновлення нульового дня – що тепер?

Apple мовчки знімає своє останнє оновлення нульового дня – що тепер?

Мітка часу: 11 липня 2023 р., 11:21
Вихідний вузол: 2757815
by Пол Даклін

Закон Беттеріджа про заголовки наполягає на тому, що на будь-який заголовок, поставлений як запитання, можна миттєво відповісти простим «Ні».

Очевидно, теорія, що стоїть за цією дотепністю (насправді це не закон, і не правило, і навіть не щось більше, ніж припущення) полягає в тому, що якби автор знав, про що говорив, і мав реальні докази на підтримку своєї позиції, вони написали б заголовок як чистий факт.

Що ж, ми тут не журналісти Naked Security, тому, на щастя, ми не зв’язані цим законом.

Безжальна відповідь на наше власне запитання в заголовку вище: «Ніхто не знає, крім Apple, і Apple не говорить».

Краща, але, за загальним визнанням, проміжна відповідь: "Почекайте і побачите."

Швидкі реакції

Ця історія почалася вчора пізно, наприкінці 2023-06-10 за британським часом, коли ми схвильовано [Ви маєте на увазі "збуджено"? – Ред.] написав пораду про Apple другий в історії Швидке реагування безпеки (RSR):

Ці RSR, як і ми пояснювалося раніше, намагання Apple надавати екстрені виправлення окремих проблем так швидко, як це зазвичай роблять добре керовані проекти з відкритим вихідним кодом, де латки нульового дня часто з’являються протягом одного-двох днів після виявлення проблеми з оновленнями до оновлень. негайно, якщо подальші розслідування виявлять додаткові проблеми, які потребують усунення.

Одна з причин, чому проекти з відкритим кодом можуть використовувати такий підхід, полягає в тому, що вони зазвичай надають сторінку завантаження з повним вихідним кодом кожної офіційно випущеної версії, тому якщо ви поспішаєте прийняти останні виправлення за години, а не за дні або тижнів, і вони не працюють, немає жодних перешкод для повернення до попередньої версії, доки не буде готове виправлення за виправлення.

Проте офіційний шлях оновлення Apple, принаймні для її мобільних пристроїв, завжди полягав у постачанні повних виправлень системного рівня, які ніколи не можна відкотити, оскільки Apple не подобається ідея, коли користувачі навмисно знижують версію своїх власних систем, щоб використовувати старі помилки з метою джейлбрейка власних пристроїв або встановлення альтернативних операційних систем.

У результаті, навіть коли Apple видала екстрені виправлення однієї або двох помилок для дірок нульового дня, які вже активно використовувалися, компанії потрібно було придумати (і вам потрібно було повірити в те), що, по суті, було односторонній модернізація, навіть якщо все, що вам насправді потрібно, це мінімалістичний оновлення до одного компонента системи, щоб виправити явну та наявну небезпеку.

Увійдіть у процес RSR, дозволяючи швидкі виправлення, які можна швидко інсталювати, які не потребують відключення телефону від 15 до 45 хвилин повторних перезавантажень, і які ви можете пізніше видалити (і перевстановити, і видалити, і і так далі), якщо ви вирішите, що лікування було гірше, ніж хвороба.

Помилки, тимчасово виправлені за допомогою RSR, будуть остаточно виправлені під час наступного оновлення повної версії…

…так що RSR не потребують або отримують цілий новий власний номер версії.

Натомість до них додається літера послідовності, щоб перша швидка відповідь безпеки для iOS 16.5.1 (яка вийшла вчора) відображалася в Налаштування > Загальне > МЕНЮ as 16.5.1 (а).

(Ми не знаємо, що станеться, якщо послідовність коли-небудь пропаде (z), але ми готові зробити невелику ставку на відповідь (aa)чи, може, (za) якщо сортування за алфавітом вважається важливим.)

Сьогодні тут, завтра немає

У будь-якому випадку, лише через кілька годин після поради всім отримати iOS та iPadOS 16.5.1 (a), оскільки він виправляє експлойт нульового дня в коді Apple WebKit і тому майже напевно може бути використаний для шкідливих програм, таких як імплантація шпигунського програмного забезпечення або захоплення особисті дані з вашого телефону…

…коментатори (особлива подяка Джону Майклу Леслі, який розміщені на нашій сторінці у Facebook) почали повідомляти, що оновлення більше не відображається, коли вони використовували Налаштування > Загальне > Оновлення програмного забезпечення щоб спробувати оновити свої пристрої.

Apple власне портал безпеки все ще містить список [2023-07-11T15:00:00Z] останніх оновлень як macOS 13.4.1 (a) та iOS/iPadOS 16.5.1 (a), датований 2023, без приміток про те, чи їх офіційно призупинено.

але звіти через сайт MacRumors припускають, що оновлення на даний момент скасовано.

Однією з запропонованих причин є те, що браузер Apple Safari тепер ідентифікує себе у веб-запитах за допомогою рядка User-Agent, який містить додаток (a) у номері версії.

Ось що ми побачили, коли спрямували наш оновлений браузер Safari на iOS на TCP-сокет, який прослуховує (відформатований із розривами рядків для кращої читабельності):

$ ncat -vv -l 9999 Ncat: Версія 7.94 ( https://nmap.org/ncat ) Ncat: Прослуховується :::9999 Ncat: Прослуховується 0.0.0.0:9999 Ncat: З’єднання з 10.42.42.1. Ncat: підключення з 10.42.42.1:13337. GET / HTTP/1.1 Хост: 10.42.42.42:9999 Upgrade-Insecure-Requests: 1 Accept: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone; ЦП iPhone OS 16_5_1 як Mac OS X) AppleWebKit/605.1.15 (KHTML, як Gecko) Версія/16.5.2 (a) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Accept-Encoding: gzip, deflate Connection: keep-alive NCAT DEBUG: Fd 5 закриття.

За словами деяких коментаторів MacRumors, це Version/ Рядок, що складається зі звичайних цифр і крапок разом із дивним і неочікуваним текстом у круглих дужках, заплутує деякі веб-сайти.

(За іронією долі, сайти, які ми бачили звинувачуваними в цій, очевидно, грі з помилковим аналізом версії-рядка, здається, є службами, до яких набагато частіше звертаються спеціальні програми, ніж через браузер, але теорія, здається, що вони, очевидно, задихнутися цим 16.5.2 (a) ідентифікатор версії, якщо ви вирішите відвідати їх з оновленою версією Safari.)

Що ж робити?

Власне кажучи, тільки Apple знає, що тут відбувається, і це не говорить. (Принаймні, не офіційно через портал безпеки (HT201222) або її Про швидке реагування безпеки сторінка (HT201224.)

Ми рекомендуємо, якщо у вас уже є оновлення, не видаляти його, якщо воно справді не заважає вашій можливості використовувати свій телефон із веб-сайтами чи програмами, потрібними для роботи, або якщо ваш власний ІТ-відділ прямо не скаже вам відкотитися. до «не-(a)» смаку macOS, iOS або iPadOS.

Зрештою, це оновлення було визнано придатним для швидкого реагування, тому що експлойт, який воно виправляє, є дірою у віддаленому виконанні коду (RCE) на основі браузера.

Якщо вам потрібно або хочете видалити RSR, ви можете зробити це:

  • Якщо у вас є iPhone або iPad. До Налаштування > Загальне > МЕНЮ > Версія iOS/iPadOS І вибирай Видалити відповідь безпеки.
  • Якщо у вас Mac. До Налаштування системи > Загальне > МЕНЮ і натисніть кнопку (i) піктограма в кінці елемента під назвою macOS приходить.

Зауважте, що ми одразу встановили RSR на macOS Ventura 13.4.1 та iOS 16.5.1 і не мали жодних проблем із переглядом наших звичайних веб-сторінок через Safari чи Edge. (Пам’ятайте, що всі браузери використовують WebKit на мобільних пристроях Apple!)

Тому ми не маємо наміру видаляти оновлення, і ми не хочемо робити це експериментально, тому що ми не маємо уявлення, чи зможемо ми знову його інсталювати згодом.

Коментатори припустили, що про виправлення просто не повідомляється, коли вони намагаються виправити його з пристрою без виправлень, але ми не пробували повторно виправляти раніше виправлений пристрій, щоб перевірити, чи це дає вам чарівний квиток для повторного отримання оновлення.

Простіше кажучи:

  • Якщо ви вже завантажили macOS 13.4.1 (a) або iOS/iPadOS 16.5.1 (a), зберігайте оновлення, якщо вам абсолютно не потрібно його позбутися, враховуючи, що воно захищає вас від діри нульового дня.
  • Якщо ви встановили його та справді потребуєте або хочете його видалити, дивіться наші інструкції вище, але припускайте, що ви не зможете перевстановити його пізніше, і тому віднесете себе до третьої категорії нижче.
  • Якщо ви його ще не отримали, подивіться цей простір. Ми припускаємо, що (a) патч буде швидко замінено на a (b) патч, тому що вся ідея цих «буквених оновлень» полягає в тому, що вони призначені для швидкого реагування. Але напевно знає тільки Apple.

Ми виправимо нашу звичайну вчорашню пораду, сказавши: Не зволікайте; зробіть це, як тільки Apple і ваш пристрій дозволять вам.

Часова мітка:

Більше від Гола безпека