Naprawiaj komputery Mac, osoby i zegarki Apple oraz starsze iPhone'y, iPady i iPody Touch.
Firma Apple wczoraj (26 września) wydała awaryjną aktualizację dla komputerów Mac, aby naprawić usterkę, która pozwalała „zdalnemu napastnikowi… spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu”.
W prostym języku angielskim oznacza to, że haker może uzyskać dostęp do komputera Mac z Internetu i uruchomić złośliwy kod lub zamknąć legalne aplikacje. Nie trzeba dodawać, że to bardzo złe.
Wczoraj wydano również łatki dla watchOS (5.3.2) i iOS 12 (12.4.2), aby naprawić tę samą wadę. Nowe iPhone'y, iPady i iPody otrzymały poprawkę w zeszłym tygodniu wraz z wydaniem iOS 13, ale wiele starszych urządzeń z iOS, takich jak iPhone 5s, 6 i 6 Plus, musi trzymać się iOS 12.
Łatki na komputery Mac są przeznaczone dla trzech ostatnich wersji systemu macOS - 10.14 Mojave, 10.13 High Sierra i 10.12 Sierra - ale nie otrzymasz nowego numeru wersji dla swojej kompilacji. Prawdopodobnie dotyczy to również starszych, nieobsługiwanych wersji systemu macOS/OS X. (Jeśli nadal korzystasz z jednego z nich, czas na aktualizację).
Wyjaśnienie tajemnicy
Apple nie mówi wiele więcej na temat błędu, poza tym, że wiąże się on z „odczytem poza granicami, który został rozwiązany za pomocą ulepszonej walidacji danych wejściowych” został odkryty przez badaczy Google Project Zero, Samuela Großa i Natalie Silvanovich. przypisano numer CVE-2019-8641 Common Vulnerability and Exposures (CVE).
Okazuje się jednak, że luka sięga kilku miesięcy wstecz i pozostała nierozwiązana długo po tym, jak naprawiono podobny zestaw błędów.
Dziś rano (27 września) Paul Ducklin z Sophos połączył kropki i zorientował się, że jest to ostatnia z kilku usterek, głównie iOS, które Groß i Silvanovich ujawnili latem, i jedyna z tych, która pozostaje niewyjaśniona i niezałatana. prawie dwa miesiące.
Być może pamiętasz, że pod koniec lipca ujawniono wiele błędów Apple Messages, które Apple w większości naprawił w systemie iOS 12.4. Niektóre z błędów pozwoliłyby hakerom przejąć iPhone'y, po prostu wysyłając specjalnie spreparowaną wiadomość.
Zgodnie ze standardową procedurą badacze z Projektu Zero wyjaśnili dokładnie, jak działały błędy po wydaniu przez Apple iOS 12.4. Ale wstrzymali się z informacją o jednej wadzie, ponieważ uważali, że iOS 12.4 nie naprawił jej w pełni.
„Wstrzymujemy CVE-2019-8641 do jego ostatecznego terminu, ponieważ poprawka w zaleceniu nie rozwiązała luki” – napisał Silvanovich na Twitterze 29 lipca.
Tajemnicza wada pozostała nieujawniona przez kolejne dwa miesiące, nawet gdy Silvanovich i Groß przeprowadzili swoje badania w drodze i przedstawili swoje odkrycia na sierpniowej konferencji Black Hat poświęconej bezpieczeństwu, a gdy Apple zaktualizowało iOS do wersji 12.4.1 i wydali „uzupełnienie” aktualizacja do systemu macOS Mojave 10.14.6.
Wreszcie pełne ujawnienie
Teraz, kiedy wszystko jest już naprawione, kota wyszło z worka. Silvanovich po cichu podał do publicznej wiadomości szczegóły CVE-2019-8641 w poniedziałek (23 września), po wydaniu iOS 13, w poście na blogu Project Zero.
Jej wyjaśnienie luki jest niezrozumiałe dla każdego, kto nie jest dobrze zaznajomiony z wewnętrznym działaniem systemu iOS, ale zauważyła, że „ten problem nie został jeszcze naprawiony dla komputerów Mac i iPad, ale teraz jest tylko lokalną luką ze względu na zmianę w 12.4 .1."
Przypuszczalnie te lokalne luki zostały usunięte w aktualizacji iOS 12.4.2 i łatkach macOS.
Źródło obrazu: blackzheep/Shutterstock