Paigutage oma Maci, inimesi ja oma Apple'i kellasid ning vanemaid iPhone'i, iPadi ja iPod Touchi.
Apple avaldas eile (26. septembril) Maci jaoks hädaabivärskenduse, et parandada viga, mis võimaldaks "kaugründajal … põhjustada rakenduse ootamatu sulgemise või suvalise koodi täitmise".
Lihtsas inglise keeles tähendab see, et häkker pääseb teie Macile Internetist juurde ja käivitab pahatahtlikku koodi või sulgeb seaduslikud rakendused. Ütlematagi selge, et see on väga halb.
Sama vea parandamiseks anti eile välja ka plaastrid watchOS (5.3.2) ja iOS 12 (12.4.2) jaoks. Uued iPhone'id, iPadid ja iPodid said paranduse eelmisel nädalal, kui ilmus iOS 13, kuid paljud vanemad iOS -seadmed, näiteks iPhone 5s, 6 ja 6 Plus, peavad jääma iOS 12 juurde.
Maci plaastrid on mõeldud macOS -i kolmele viimasele versioonile - 10.14 Mojave, 10.13 High Sierra ja 10.12 Sierra -, kuid te ei saa oma versiooni jaoks uut versiooninumbrit. Tõenäoliselt mõjutab see ka macOS/OS X vanemaid, toetamata versioone. (Kui kasutate mõnda neist endiselt, on aeg seda värskendada.)
Salapära klaarimine
Apple ei ütle vea kohta palju rohkem, kui see, et see hõlmab "piirivälist lugemist [mida] käsitleti täiustatud sisendi valideerimisega", avastasid Google Project Zero teadlased Samuel Groß ja Natalie Silvanovich ning määratud ühise haavatavuse ja riskipositsioonide (CVE) number CVE-2019-8641.
Kuid selgub, et haavatavus ulatub mitu kuud tagasi ja see jäi lahendamata kaua pärast sarnaste vigade kõrvaldamist.
Täna hommikul (27. septembril) ühendas Sophose Paul Ducklin punktid ja leidis, et see on viimane mitmest peamiselt iOS -i veast, mille Groß ja Silvanovitš suve jooksul avastasid, ning ainus neist puudustest, mis on jäänud seletamatuks ja parandamata ligi kaks kuud.
Mäletate, et juuli lõpus ilmnesid mitmed Apple'i sõnumite vead, mille Apple enamasti parandas iOS 12.4 abil. Mõned vead oleksid lasknud häkkeritel iPhone'i üle võtta, saates lihtsalt spetsiaalselt loodud sõnumi.
Nagu tavaline protseduur, selgitasid Project Zero teadlased täpselt, kuidas vead töötasid pärast seda, kui Apple andis välja iOS 12.4. Kuid nad hoidsid ühe vea kohta teavet tagasi, kuna tundsid, et iOS 12.4 ei parandanud seda täielikult.
"Me hoiame CVE-2019-8641 kinni kuni selle tähtajani, kuna nõuandes tehtud parandus ei lahendanud haavatavust," kirjutas Silvanovitš Twitteris 29. juulil.
Salapärane viga jäi paljastamata veel kaheks kuuks, isegi kui Silvanovich ja Groß uurisid teed ja esitasid oma leiud augustis Black Hat'i turvakonverentsil ning kui Apple uuendas iOS -i versioonile 12.4.1 ja avaldas täiendava värskendage macOS Mojave 10.14.6.
Lõpuks täielik avalikustamine
Nüüd, kui kõik on tõesti korda tehtud, on kass kotist väljas. Silvanovitš avaldas vaikselt CVE-2019-8641 üksikasjad esmaspäeval (23. septembril) pärast iOS 13 väljaandmist Project Zero ajaveebi postituses.
Tema seletus haavatavusest on arusaamatu kõigile, kes pole iOS -i sisemist tööd hästi tundnud, kuid ta märkis, et "seda probleemi pole Maci ja iPadi jaoks veel lahendatud, kuid see on nüüd ainult kohalik haavatavus, mis on tingitud muudatustest 12.4. .1. "
Need kohalikud haavatavused on arvatavasti nüüd lahendatud iOS 12.4.2 värskenduse ja macOS -i plaastritega.
Pildi krediit: blackzheep/Shutterstock