Opravte své počítače Mac, lidi a hodinky Apple Watch a starší iPhony, iPady a iPody Touches.
Společnost Apple včera (26. září) vydala nouzovou aktualizaci pro počítače Mac, která opravuje chybu, která by umožnila „vzdálenému útočníkovi … způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu“.
V prosté angličtině to znamená, že hacker mohl přistupovat k vašemu Macu z internetu a spouštět škodlivý kód nebo vypínat legitimní aplikace. Není třeba říkat, že je to velmi špatné.
Včera byly také vydány opravy pro watchOS (5.3.2) a iOS 12 (12.4.2), aby byla opravena stejná chyba. Nové iPhony, iPady a iPody prošly opravou minulý týden s vydáním iOS 13, ale mnoho starších iOS zařízení, jako je iPhone 5s, 6 a 6 Plus, se musí držet iOS 12.
Záplaty pro Mac jsou pro poslední tři verze macOS - 10.14 Mojave, 10.13 High Sierra a 10.12 Sierra - ale pro svou verzi nedostanete nové číslo verze. Pravděpodobně budou ovlivněny i starší, nepodporované verze systému macOS/OS X. (Pokud některý z nich stále používáte, je čas jej aktualizovat.)
Odhalování záhady
Apple o této chybě neříká nic jiného, kromě toho, že zahrnuje „čtení mimo rozsah [to] bylo vyřešeno vylepšenou validací vstupu“, zjistili výzkumníci Google Project Zero Samuel Groß a Natalie Silvanovich a byli přiděleno číslu CVE-2019-8641 společné chyby zabezpečení a ohrožení (CVE).
Ukázalo se však, že zranitelnost sahá několik měsíců zpět a byla ponechána nevyřešena dlouho poté, co byla opravena podobná řada nedostatků.
Dnes ráno (27. září) spojil Sophos Paul Ducklin tečky a zjistil, že toto je poslední z několika převážně iOS nedostatků, které Groß a Silvanovich odhalili v létě, a jediná z těchto nedostatků, která zůstala nevysvětlena a nebyla opravena skoro dva měsíce.
Možná si vzpomenete, že na konci července byla odhalena řada chyb Apple Messages, které Apple většinou napravil pomocí iOS 12.4. Některé z chyb by umožnily hackerům převzít iPhone jednoduše odesláním speciálně vytvořené zprávy.
Jak je standardním postupem, výzkumníci Project Zero přesně vysvětlili, jak chyby fungovaly poté, co Apple vydal iOS 12.4. Ale zadržovali informace o jedné chybě, protože cítili, že iOS 12.4 to úplně neopravil.
„Zadržujeme CVE-2019-8641 až do jeho uzávěrky, protože oprava v poradně tuto chybu zabezpečení nevyřešila,“ napsal Silvanovich na Twitteru 29. července.
Tajemná chyba zůstala neodhalena další dva měsíce, i když Silvanovich a Groß vyrazili na průzkum a představili svá zjištění na bezpečnostní konferenci Black Hat v srpnu a když Apple aktualizoval iOS na verzi 12.4.1 a vydal „doplňkový“ aktualizace na macOS Mojave 10.14.6.
Konečně úplné odhalení
Nyní, když je vše opravdu opraveno, je kočka venku z tašky. Silvanovich tiše zveřejnil podrobnosti o CVE-2019-8641 v pondělí (23. září), po vydání iOS 13, na blogu Project Zero.
Její vysvětlení této zranitelnosti je nepochopitelné pro kohokoli, kdo se v interních funkcích iOS příliš nevyzná, ale poznamenala, že „tento problém zatím nebyl vyřešen pro Mac a iPad, ale nyní je pouze lokální zranitelností kvůli změně ve verzi 12,4. .1. "
Tyto lokální zranitelnosti byly pravděpodobně nyní vyřešeny aktualizací iOS 12.4.2 a záplatami macOS.
Obrazový kredit: blackzheep/Shutterstock