Hier bij Naked Security klagen we al eeuwen over de mysterieuze aard van de beveiligingsupdates van Apple.
Zelfs wanneer bijvoorbeeld algemeen bekende beveiligingsproblemen optreden in componenten die deel uitmaken van het besturingssysteem van Apple, weigert Apple routinematig te zeggen wanneer, of zelfs of, het van plan is de problemen zelf aan te pakken.
In februari 2013 bijvoorbeeld, a gevaarlijk insect werd gevonden en gepatcht in de veelgebruikte sudo opdracht:
Zoals u waarschijnlijk weet, sudo is een programma waarmee u substitueer de huidige gebruiker en do een bevel (strikt, su hier staat voor setuid(), de Unix/Linux-functie die wordt gebruikt om tussen accounts te schakelen).
Omdat het meest voorkomende gebruik van sudo is om over te schakelen naar het root-account, in plaats van naar een minder bevoorrechte account...
...elke authenticatie-bypass-bug in sudo moet als cruciaal worden beschouwd, omdat het iedereen die momenteel op uw computer is ingelogd, een triviale en schijnbaar officiële manier kan bieden om zichzelf onmiddellijk in een beheerder te veranderen.
Snel gepatcht door de meeste
De bug in dit geval, CVE-2013-1775, werd vrijwel onmiddellijk gepatcht door de sudo project, en de update werd vrijwel onmiddellijk en universeel verspreid over de BSD- en Linux-ecosystemen.
Apple zei echter berucht niets, hoewel de bug zijn eigen producten trof.
Na zes maanden stilte verscheen er een openbare exploit voor gebruik met de populaire cyberbeveiligingsaanvaltool Metasploit, misschien in een poging om pers Apple in actie:
Door helemaal niets te zeggen - en dat is het officiële beleid van Apple met betrekking tot cyberbeveiligingsupdates: geen commentaar tot nadat de fix uit is - laat het bedrijf zijn gebruikers niet weten of Apple:
- Moet nog opmerken dat het probleem zelfs bestaat.
- Weet van het probleem maar heeft ontdekt dat zijn eigen producten immuun zijn.
- Weet van het probleem maar heeft besloten dat het niet zal worden opgelost.
- Weet van het probleem maar kan niet vinden hoe dit op te lossen.
- Heeft voorlopig een oplossing maar zal er niemand over vertellen.
- Werkt aan een oplossing maar zal het niet zeggen.
Langzaam opgelost door Apple
In het sudo bug geval, Apple deed het uiteindelijk Kom naar het feest, en heeft in september zijn eigen producten bijgewerkt.
Natuurlijk betekent Apple's stijl van openbare veiligheidsdiscours dat we nog steeds niet weten of het bedrijf er zeven maanden over deed om een oplossing te implementeren waarvoor andere distro's van het besturingssysteem slechts een paar dagen nodig hadden om op te lossen, of zorgwekkend besloot de bug te negeren. helemaal totdat de Metasploit-exploit zijn hand dwong:
De keerzijde van Apple's "cybersecurity-kegel van stilte" is dat beveiligingspatches die plotseling arriveren - hoe welkom ze ook zijn als ze kritieke problemen oplossen - vaak verschijnen met onzekere en onvolledige verklaringen waardoor gebruikers en netwerkbeheerders weinig meer hebben om mee te werken.
Wanneer een zero-day beveiligingslek wordt gedicht, hoe ga je dan op jacht naar bedreigingen om te zien of je een van de ongelukkige mensen was die al het doelwit waren van cybercriminelen...
...als je bijna niets te doen hebt, zelfs nadat de update beschikbaar is, en je weet dat je nu veilig bent?
Dat is waar Apple-gebruikers vandaag zijn, na de release van noodupdates voor macOS, iOS en iPadOS gisteravond.
Als dit een Microsoft-patch was, zouden we er waarschijnlijk naar verwijzen als "out of band", een jargonterm die vaak wordt gebruikt om aan te geven dat een update een kritieke eenmalige is die gewoon niet kon wachten op de volgende ronde van geplande updates, en past daarom niet in de verwachte cyclus.
Natuurlijk is er in de wereld van Apple geen "band" waar een individuele update "uit" kan zijn, aangezien al zijn updates onaangekondigd en onverwacht aankomen.
Nog dringender en belangrijker dan normaal
Toch voelt deze nog urgenter en belangrijker dan normaal, aangezien er maar één bug is opgelost, genaamd CVE-2022-22620, dat van invloed is op het WebKit-browsersubstraat van Apple, en wordt beschreven met de volgende woorden:
Impact: Het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat dit probleem mogelijk actief is misbruikt.
Beschrijving: Een 'use after free'-probleem is verholpen door verbeterd geheugenbeheer.
Je moet aannemen dat dit betekent: "boobytrapped webpagina's kunnen je telefoon pwn in een zero-click aanval."
A zero-click browser aanval betekent dat alleen al het bekijken van een webpagina, zelfs als u er niets van downloadt of er waarschuwingen of pop-ups op ziet, privégegevens kan stelen, ongeautoriseerde wijzigingen kan aanbrengen of malware, inclusief spyware, kan implanteren.
(Misschien heb je ook wel eens gehoord van dit soort aanvallen, wanneer ze worden gebruikt om je apparaat te infecteren met malware, waarnaar wordt verwezen met de jargonterm drive-by downloaden, waar u door alleen een website te etaleren, u onbewust geïnfiltreerd zou kunnen worden.)
Onthoud dat bugs in WebKit altijd van invloed zijn op Safari, dat is gebaseerd op WebKit, en vaak van invloed zijn op apps met browserachtige functies, omdat die apps WebKit vaak gebruiken als een hulpprogrammabibliotheek om hun eigen codering te vereenvoudigen.
Bugs in WebKit zijn ook van invloed op elke browser op iPhones en iPads, zelfs niet-Apple-browsers zoals Firefox, Edge en Chrome, omdat Apple de browsers van andere leveranciers niet toestaat in de App Store als ze hun eigen low-level browser-engine meenemen met hen: onder de oppervlakte is het WebKit of niets.
Wat te doen?
- Update naar Monterey 12.2.1: Als je een Mac hebt met de nieuwste macOS-versie, dan is dit iets voor jou. Zie Apple-bulletin HT213092.
- Update naar iOS 15.3.1 of iPadOS 15.3.1: Als je een recente iPhone of iPad met de nieuwste versie hebt, is dit wat je nodig hebt. Zie Apple-bulletin HT213093.
- Update naar Safari 15.3*: Voor gebruikers van de vorige twee macOS-versies, Catalina en Big Sur, wordt de patch geleverd als een update voor alleen Safari en verandert het buildnummer van uw besturingssysteem niet. Zie Apple-bulletin HT213091.
Gebruikers van de vorige twee iOS- en iPadOS-versies, iOS 14 en iOS 12, hebben weer pech: Apple heeft opnieuw zijn eed van stilte over uw situatie gehandhaafd.
Heeft u hier geen last van omdat deze bug niet in oudere WebKit-code zit? Beïnvloed, maar krijg je de update nog een tijdje niet? Of gewoon en stil niet ondersteund en nooit een oplossing voor deze of andere toekomstige bugs krijgen? (Dat zijn retorische vragen: dat valt niet te zeggen.)
In de bovenstaande lijst ziet u dat we schreven: Safari15.3* voor gebruikers van Catalina en Big Sur (dat sterretje is geen typfout), en zo noemt Apple de patch in zijn eigen bulletin.
Vervelend is dat de versie die je al hebt Safari 15.3 is, en de versie die je na het updaten hebt nog steeds Safari 15.3.
De enige manier om de oude en nieuwe versies van elkaar te onderscheiden, is door te doen Safari > Over, en controleer het meganummer van de vijfdelige versie dat verschijnt: als het eindigt 4.9.1.7 dan ben je uit de tijd; als het zegt 4.9.1.8 dan ben je gepatcht.
Verrassend genoeg vermeldt de copyrightkennisgeving in beide versies nog steeds 2003-2021, alsof Apple op de hoogte was van deze bug en de fix vorig jaar heeft gecodeerd, ook al zijn er in de tussentijd talloze andere WebKit-bugs verholpen:
