Секрет Apple розкрито: виправлено 3 нульових дня, тому обов’язково виправте зараз!

Пам’ятайте те просте, але надшвидке оновлення Apple вигнали три тижні тому, 2023-05-01?

Це оновлення було першим у новомодній версії Apple Швидке реагування безпеки процес, за допомогою якого компанія може випускати критичні виправлення для ключових компонентів системи, не проходячи через повнорозмірне оновлення операційної системи, яке переведе вас до нового номера версії.

Як ми розмірковували в подкасті Naked Securirty того тижня:

Apple щойно представила «Швидке реагування безпеки». Люди повідомляють, що завантаження займає кілька секунд і потрібна одна надшвидка перезавантаження. [Але] що стосується небагатослівності [про оновлення], то вони небагатослівні. Абсолютно жодної інформації про що йдеться. Але це було гарно і швидко!

Добре для деяких

На жаль, ці нові швидкі реакції безпеки були доступні лише для останньої версії macOS (наразі Ventura) і останньої iOS/iPadOS (наразі у версії 16), через що користувачі старіших комп’ютерів Mac і iDevices, а також власники годинників Apple Watch і Apple TV у темряві.

Опис Apple нових швидких виправлень означає, що вони зазвичай мають справу з помилками нульового дня, які впливають на основне програмне забезпечення, таке як браузер Safari та WebKit, який є механізмом веб-рендерингу, який кожен браузер зобов’язаний використовувати на iPhone та iPad.

Технічно ви можете створити програму для браузера iPhone або iPad, яка використовує двигун Chromium, як це роблять Chrome і Edge, або механізм Gecko, як це роблять браузери Mozilla, але Apple не допустить його до App Store, якби ви це зробили.

І тому, що App Store є єдиним джерелом додатків для мобільних пристроїв Apple, «огороженим садом», ось що: це або спосіб WebKit, або ні.

Причина того, що критичні помилки WebKit, як правило, є більш небезпечними, ніж помилки в багатьох інших програмах, полягає в тому, що браузери цілком навмисно витрачають час на отримання вмісту з будь-якого місця в Інтернеті.

Потім браузери обробляють ці ненадійні файли, надані віддалено веб-серверами інших людей, перетворюють їх на вміст, доступний для перегляду та клацання, і відображають їх як веб-сторінки, з якими можна взаємодіяти.

Ви очікуєте, що ваш браузер активно попереджатиме вас і явно запитуватиме дозвіл перед виконанням дій, які вважаються потенційно небезпечними, наприклад активацією веб-камери, читанням файлів, які вже зберігаються на вашому пристрої, або встановленням нового програмного забезпечення.

Але ви також очікуєте, що вміст, який не вважається безпосередньо небезпечним, як-от відображення зображень, відео, відтворення аудіофайлів тощо, буде оброблено та надано вам автоматично.

Простіше кажучи, просто відвідує веб-сторінка не повинна піддавати вас ризику імплантації зловмисного програмного забезпечення на ваш пристрій, викрадення ваших даних, викрадення ваших паролів, зараження вашого цифрового життя шпигунським програмним забезпеченням або будь-яких злочинів такого роду.

Якщо немає помилки

Якщо, звісно, ​​немає помилки в WebKit (або, можливо, кількох помилок, які можна стратегічно об’єднати), щоб ваш браузер можна було обманом змусити щось зробити, просто підготувавши навмисно замінований файл зображення, відео чи спливаюче вікно JavaScript це не повинно.

Якщо кіберзлочинці, або продавці шпигунського програмного забезпечення, або зловмисники, або служби безпеки уряду, який вас не любить, або взагалі будь-хто, хто має ваші найгірші інтереси, виявляють подібну помилку, яку можна використовувати, вони можуть скомпрометувати кібербезпеку всього вашого пристрою…

…просто заманивши вас на веб-сайт, який інакше виглядає невинно, відвідування якого мало б бути абсолютно безпечним.

Ну, Apple щойно доповнила свої останні виправлення Rapid Security Resonse з повними оновленнями для всіх підтримуваних продуктів, і серед бюлетенів безпеки для цих виправлень ми нарешті дізналися, що це за Rapid Response. там виправити.

Два нульові дні:

• CVE-2023-28204: WebKit. Зчитування поза межами було вирішено за допомогою покращеної перевірки введення. Обробка веб-вмісту може розкрити конфіденційну інформацію. Apple знає про повідомлення про те, що ця проблема могла активно використовуватися.
• CVE-2023-32373: WebKit. Проблему використання після звільнення було вирішено за допомогою покращеного керування пам’яттю. Обробка зловмисно створеного веб-вмісту може призвести до виконання довільного коду. Apple знає про повідомлення про те, що ця проблема могла активно використовуватися.

Загалом кажучи, коли два нульові дні такого типу з’являються одночасно в WebKit, можна посперечатися, що їх об’єднали злочинці для створення двоетапної атаки захоплення.

Помилки, які пошкоджують пам’ять шляхом перезапису даних, які не можна торкатися (наприклад, CVE-2023-32373), завжди погані, але сучасні операційні системи включають багато засобів захисту під час виконання, спрямованих на те, щоб такі помилки не використовувалися для контролю над програмою з помилками.

Наприклад, якщо операційна система випадковим чином вибирає, де програми та дані потрапляють у пам’ять, кіберзлочинці часто не можуть зробити нічого, окрім аварійного завершення роботи вразливої ​​програми, оскільки вони не можуть передбачити, як код, який вони атакують, розміщений у пам’яті. .

Але маючи точну інформацію про те, де знаходиться, грубий «збійний» експлойт іноді можна перетворити на «збій і збережи контроль»: те, що відомо під самоописовою назвою віддалене виконання коду отвір.

Звичайно, помилки, які дозволяють зловмисникам зчитувати з пам’яті недозволені місця (наприклад, CVE-2023-28204), можуть не тільки безпосередньо призвести до витоку даних і крадіжки даних, але й опосередковано призвести до «збою та збереження». контроль», розкриваючи секрети розташування пам’яті всередині програми та полегшуючи її захоплення.

Інтригуюче те, що в останніх оновленнях виправлено третій нульовий день, але він, очевидно, не був виправлений у Rapid Security Response.

• CVE-2023-32409: WebKit. Проблему було вирішено за допомогою покращених перевірок меж. Віддалений зловмисник може вийти з ізольованого програмного середовища Web Content. Apple знає про повідомлення про те, що ця проблема могла активно використовуватися.

Як ви можете собі уявити, поєднання цих трьох нульових днів було б еквівалентом домашньої спроби зловмисника: перша помилка відкриває секрети, необхідні для надійного використання другої помилки, а друга помилка дозволяє імплантувати код для використання третьої помилки. …

…у цей момент зловмисник не просто захопив «огорожений сад» вашої поточної веб-сторінки, а й захопив контроль над усім вашим браузером або ще гірше.

Що ж робити?

Переконайтеся, що ви виправлені! (Йти до Налаштування > Загальне > Програмне оновлення.)

Навіть пристрої, які вже отримали швидке реагування безпеки на початку березня 2023 року, ще мають виправити нульовий день.

І всі платформи отримали багато інших виправлень безпеки для помилок, які можуть бути використані для таких різноманітних атак, як: обхід налаштувань конфіденційності; доступ до особистих даних із екрана блокування; читання інформації про ваше місцезнаходження без дозволу; стеження за мережевим трафіком з інших програм; і більше.

Після оновлення ви повинні побачити такі номери версій:

• watchOS: зараз у версії 9.5
• tvOS: зараз у версії 16.5
• iOS 15 і iPadOS 15: зараз у версії 15.7.6
• iOS 16 і iPadOS 16: зараз у версії 16.5
• macOS Big Sur: зараз на 11.7.7
• macOS Монтерей: зараз на 12.6.6
• macOS Ventura: зараз на 13.4

Важливе зауваження: якщо у вас macOS Big Sur або macOS Monterey, ці найважливіші виправлення WebKit не входять до складу оновлення версії операційної системи, а постачаються в окремому пакеті оновлень під назвою Safari 16.5.

Удачі!

---

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
• джерело: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/