Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Uppdateringar av Apples nolldagarsuppdatering – iPhone- och iPad-användare läser detta!

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 158

by
Paul Ducklin

Regelbundna läsare kommer att veta två saker om vår inställning till Apples säkerhetskorrigeringar:

  • Vi gillar att få dem så fort vi kan. Oavsett om det är en fullversionsuppgradering som också inkluderar ett gäng säkerhetsfixar, eller en punktutgåva (en där versionsnumret längst till vänster inte ändras) med det primära syftet att korrigera buggar snarare än att lägga till nya funktioner, skulle vi hellre göra fel på sidan med att tillämpa kända säkerhetskorrigeringar än att lämna våra enheter med hål som angripare nu är medvetna om, även om de inte vet hur de ska utnyttja dem ännu.
  • Vi tycker ändå väldigt ofta att Apples bulletiner är förvirrande. Du vet till exempel aldrig riktigt var du står om du har fastnat för en version som inte fick en uppdatering den här gången.

Apples senaste säkerhetsbulletiner, som kom ut tidigare denna vecka, verkar exemplifiera hur företaget ibland verkar öka förvirringen genom att säga för lite... vilket inte alltid är ett lyckligt alternativ till att ta reda på för mycket:

Framväxande förvirring

Baserat på de förfrågningar och kommentarer vi har fått från läsare under de senaste dagarna, uppstod följande förvirring:

  • Varför beskrev en enda säkerhetsbulletin uppdateringar kallade iOS 16.1 och iPadOS 16? Vi vet att iPadOS 16 var försenad, så innebar den här senaste uppdateringen att iPadOS nu bara blev patchad till samma säkerhetsnivå som iOS 16, som kom ut för mer än en månad sedan, medan iOS avancerade till 16.1 och därmed lämnade iPadOS mer än fem veckor på drift i cybersäkerhetstermer?
  • Varför rapporterade iPadOS 16 sig till slut som version 16.1? (Tack till Stefaan från Belgien för att du tog skärmdumpar av hans iPad-uppdateringsprocess och skickade in dem.) Efter uppdateringen About skärmen säger tydligen iPadOS 16, som säkerhetsbulletinen gjorde, medan iPadOS Version skärmen säger uttryckligen 16.1. Det låter som om iPhones och iPads nu inte bara båda stöder "versionsfamiljen känd som 16", utan även båda har de allra senaste säkerhetskorrigeringarna, så varför inte bara kalla båda version 16.1 överallt för tydlighetens skull, inklusive i säkerhetsbulletinen och på About skärm?
  • Vart tog macOS 10 Catalina vägen? Traditionellt sett tappar Apple stödet för macOS version X-3 när version X kommer ut, men är att den faktiska förklaringen till varför macOS 11 Big Sur och macOS 12 Monterey (version X-2 respektive X-1) fick uppdateringar medan Catalina inte t?
  • Vad hände med iOS/iPadOS 15.7.1? När iOS 16 kom ut i september 2022 fick den tidigare versionsfamiljen också viktiga uppdateringar, vilket tog den till version 15.7. Detta inkluderade en kritisk fix för att stänga av en nolldagarshål på kärnnivå under aktivt utnyttjande, vilket ofta översätts som "någon där ute smyger spionprogram på iPhones, gott folk". Så, med tanke på att iOS 16.1 ingår ännu en kernel zero-day fix, kanske stänger en väg som utnyttjas av ännu mer spionprogram, var var motsvarande patch för iOS/iPadOS 15-familjen, som analogt sett skulle vara 15.7.1?

Som vi sa i gårdagens podcast, inför den fjärde frågan ovan från en bekymrad läsare, var vårt korta svar helt enkelt "DUCK: Vet inte./DOUG: Klar som lera."

Ibland gäller säkerhetsbuggar i operativsystemversion X helt enkelt inte för version X-1, till exempel för att buggarna finns i kod som bara lades till, eller bara utsatts för fara, i nyare utgåvor.

Men vi har också sett Apple misslyckas med att producera uppdateringar för tidigare versioner av två andra anledningar, antingen [a] för att en uppdatering verkligen behövs, men som visade sig vara för knepig att göra sig redo och testa i tid, eller [b] för att den tidigare versionen ansågs nu sakna stöd och skulle inte få en uppdatering, vare sig det var nödvändigt eller inte.

Och eftersom Apples säkerhetsbulletiner nästan alltid bara berättar om patchar som är tillgängliga just nu, förblir saknade uppdateringar regelbundet ett oförklarligt (och oförklarligt) mysterium.

En smäll av bulletiner

Tja, i morse fick vi en explosion av 15 säkerhetsbulletiner från Apple, de flesta av dem listade många av de CVE-numrerade buggar och säkerhetsproblem som rapporterades i de bulletiner som vi redan hade sett tidigare i veckan.

Ingen av dem klargjorde direkt de tre första frågorna ovan, även om vi nu antar att anledningen till att Apple hänvisade till "iPadOS 16" såväl som till "iPadOS 16.1" var ett möjligen missriktat försök att förmedla informationen om att iPadOS nu blev försenat uppgradera till version familj 16, samt att få en uppdatering likvärdig i säkerhetsfixar till nya iOS 16.1.

Men den allra första bulletinen i den senaste salvan från Apple löste den sista frågan ovan, genom att tillkännage iOS/iPadOS 15.7.1, som visar sig vara en kritisk fix:

APPLE-SA-2022-10-27-1: iOS 15.7.1 och iPadOS 15.7.1 iOS 15.7.1 och iPadOS 15.7.1 löser följande problem. Information om säkerhetsinnehållet finns också på https://support.apple.com/HT213490. [. . .] Kernel Tillgänglig för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare, och iPod touch (7:e generationen) Effekt: En applikation kan kanske för att exekvera godtycklig kod med kärnprivilegier. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt. Beskrivning: Ett skrivproblem utanför gränserna åtgärdades med förbättrad gränskontroll. CVE-2022-42827: en anonym forskare

Så, iOS/iPadOS 15 stöds fortfarande, och om du inte biter ihop och uppgraderar till iOS 16.1 (eller till det schismiskt namngivna iPadOS 16-det-är-också-16.1) tidigare i veckan...

...då bör du se till att du skaffa iOS/iPadOS 15.7.1 direkt, eftersom CVE-2022-42827 kärnans nolldagarshål fixerat i iOS 16.1 finns just där i iOS/iPadOS 15.7, under aktivt utnyttjande.

Med andra ord, detta var ett av de fall där orsaken till den saknade uppdateringen för några dagar sedan nästan helt enkelt var att patcharna inte var klara i tid.

Vad göra?

TL;DR om du använder iPhone eller iPad: om du fortfarande använder iOS/iPadOS huvudversion 15, gå till Inställningar > Allmänt > Säkerhetsuppdatering direkt.

Kontrollera även om du har aktiverat automatiska uppdateringar, och kom ihåg att inte bara godkänna nedladdningen om du inte redan har den, utan också att tvinga din enhet genom installationsstadiet, vilket kräver en eller flera omstarter (och gör, naturligtvis, ta din telefon eller surfplatta offline ett tag).

TL;DR om du är Apple: lite mer tydlighet skulle räcka långt i säkerhetsbulletiner, särskilt när du vet antingen att en kritisk uppdatering är vingarna för användare av tidigare versioner, eller att de inte kommer att behöva en uppdatering eftersom deras version inte påverkas.

Förresten, om du bestämde dig för att hoppa vidare till iOS/iPadOS 16.1 tidigare denna vecka, bara för säkerhets skull...

…du kan nu inte gå tillbaka till iOS/iPadOS 15.7.1, eftersom Apple inte tillåter nedgraderingar.

(Nedgraderingar underlättar jailbreaking, vilket Apple strävar efter att förhindra, och skulle i alla fall kräva en fullständig datarensning först för att förhindra att en nedgradering används som en illvillig "bring your own bug"-säkerhetsbypass för att exfiltrera personlig information.)

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.