Corectați-vă Mac-urile, oamenii și Apple Watch-urile și iPhone-urile, iPad-urile și Touch-urile mai vechi.
Apple a lansat ieri (26 septembrie) o actualizare de urgență pentru Mac pentru a remedia o eroare care ar permite unui „atacator la distanță… să provoace încetarea neașteptată a aplicației sau executarea arbitrară a codului”.
În engleză simplă, asta înseamnă că un hacker ar putea accesa Mac-ul dvs. de pe internet și poate rula coduri rău intenționate sau închide aplicații legitime. Inutil să spun că este foarte rău.
Patch-uri au fost, de asemenea, emise ieri pentru watchOS (5.3.2) și iOS 12 (12.4.2) pentru a remedia același defect. Noile dispozitive iPhone, iPad și iPod au fost remediate săptămâna trecută odată cu lansarea iOS 13, dar multe dispozitive iOS mai vechi, precum iPhone 5s, 6 și 6 Plus, trebuie să rămână cu iOS 12.
Patch-urile Mac sunt pentru ultimele trei versiuni de macOS - 10.14 Mojave, 10.13 High Sierra și 10.12 Sierra - dar nu veți obține un nou număr de versiune pentru versiunea dvs. Versiunile mai vechi, neacceptate de macOS / OS X sunt probabil afectate, de asemenea. (Dacă rulați încă unul dintre acestea, este timpul să actualizați.)
Lămurirea unui mister
Apple nu spune mai multe despre defect, în afară de faptul că implică „o citire în afara limitelor [care] a fost abordată cu o validare îmbunătățită a intrărilor”, a fost descoperită de cercetătorii Google Project Zero, Samuel Groß și Natalie Silvanovich, și a fost a atribuit numărul de vulnerabilitate și expuneri comune (CVE) numărul CVE-2019-8641.
Dar se pare că vulnerabilitatea se întoarce cu câteva luni în urmă și a rămas nerezolvată mult timp după ce a fost remediată o serie similară de defecte.
În această dimineață (27 septembrie), Paul Ducklin al lui Sophos a conectat punctele și și-a dat seama că acesta este ultimul dintre mai multe defecte în principal pe iOS pe care Groß și Silvanovich le-au dezvăluit în timpul verii și singurul dintre aceste defecte care a rămas inexplicabil și neperfectat pentru aproape două luni.
Vă puteți aminti că au existat o serie de defecte ale mesajelor Apple dezvăluite la sfârșitul lunii iulie, pe care Apple le-a remediat în cea mai mare parte cu iOS 12.4. Unele dintre defecte ar fi permis hackerilor să preia iPhone-urile pur și simplu prin trimiterea unui mesaj special creat.
Așa cum este procedura standard, cercetătorii Project Zero au explicat exact cum au funcționat erorile după ce Apple a lansat iOS 12.4. Dar au reținut informații despre un defect, deoarece au considerat că iOS 12.4 nu a remediat-o pe deplin.
„Respectăm CVE-2019-8641 până la termenul limită, deoarece soluția din aviz nu a rezolvat vulnerabilitatea”, a scris Silvanovich pe Twitter pe 29 iulie.
Defectul misterios a rămas nedescoperit încă două luni, chiar dacă Silvanovich și Groß și-au început cercetările pe drum și și-au prezentat concluziile la conferința de securitate Black Hat din august, iar Apple a actualizat iOS la versiunea 12.4.1 și a lansat un „suplimentar” actualizați la macOS Mojave 10.14.6.
În cele din urmă, dezvăluirea completă
Acum că totul a fost cu adevărat reparat, pisica a ieșit din geantă. Silvanovich a făcut publice în liniște detaliile CVE-2019-8641 luni (23 septembrie), după lansarea iOS 13, într-o postare pe blogul Project Zero.
Explicația ei a vulnerabilității este dincolo de înțelegere pentru oricine nu este versat în funcționarea internă a iOS, dar a menționat că „această problemă nu a fost încă rezolvată pentru Mac și iPad, dar este acum doar o vulnerabilitate locală datorită schimbării din 12.4 .1. "
Aceste vulnerabilități locale, probabil, au fost acum rezolvate cu actualizarea iOS 12.4.2 și cu patch-urile macOS.
Credit de imagine: blackzheep / Shutterstock