Виправте свої комп’ютери Mac, людей та годинники Apple та старіші iPhone, iPad та iPod Touch.
Apple вчора (26 вересня) випустила екстрене оновлення для Mac, щоб виправити недолік, який дозволив би "віддаленому зловмиснику … спричинити несподіване припинення роботи програми або довільне виконання коду".
Простою англійською мовою це означає, що хакер може отримати доступ до вашого Mac з Інтернету та запустити шкідливий код або вимкнути законні програми. Зайве говорити, що це дуже погано.
Також вчора були випущені виправлення для watchOS (5.3.2) та iOS 12 (12.4.2), щоб виправити той самий недолік. Нові iPhone, iPad та iPod виправили ситуацію минулого тижня з випуском iOS 13, але багато старіші пристрої iOS, такі як iPhone 5s, 6 та 6 Plus, повинні дотримуватися iOS 12.
Патчі для Mac призначені для останніх трьох версій macOS - 10.14 Mojave, 10.13 High Sierra та 10.12 Sierra - але ви не отримаєте новий номер версії для своєї збірки. Ймовірно, це також вплине на старіші версії macOS/OS X, які не підтримуються. (Якщо ви все ще користуєтесь одним із них, настав час оновитись.)
Розкриття загадки
Apple не говорить нічого більше про недолік, окрім того, що він включає "читання поза межами, яке було вирішено з покращеною валідацією вхідних даних", було виявлено дослідниками Google Project Zero Семюелем Гросом та Наталі Сільванович. присвоєно номер загальної вразливості та експозиції (CVE) CVE-2019-8641.
Але виявляється, що вразливість сягає кількох місяців, і залишалася невирішеною довго після того, як була виправлена подібна кількість недоліків.
Сьогодні вранці (27 вересня) Пол Даклін з Sophos з'єднав точки і з'ясував, що це останній з кількох недоліків переважно iOS, які Гросс і Сільванович виявили за літо, і єдиний з цих недоліків, який залишився незрозумілим і не усунутий майже два місяці.
Ви можете пригадати, що наприкінці липня було виявлено ряд недоліків Apple Messages, які Apple здебільшого усунула за допомогою iOS 12.4. Деякі недоліки дозволили б хакерам заволодіти iPhone, просто надіславши спеціально створене повідомлення.
Як і стандартну процедуру, дослідники Project Zero пояснили, як саме працювали помилки після того, як Apple випустила iOS 12.4. Але вони стримували інформацію про одну ваду, оскільки вважали, що iOS 12.4 не повністю її виправила.
"Ми призупиняємо CVE-2019-8641 до закінчення його терміну, оскільки виправлення в рекомендації не усунуло вразливість",-написав Сільванович у Twitter 29 липня.
Таємничий недолік залишався нерозкритим ще два місяці, навіть коли Сільванович і Грос провели свої дослідження в дорозі та представили свої висновки на конференції з безпеки Black Hat у серпні, а також, коли Apple оновила iOS до версії 12.4.1 та випустила "додаткову" оновлення до macOS Mojave 10.14.6.
Нарешті, повне розкриття
Тепер, коли все дійсно виправлено, кішка вийшла з мішка. Сільванович спокійно оприлюднив подробиці CVE-2019-8641 у понеділок (23 вересня), після виходу iOS 13, у дописі Project Zero.
Її пояснення вразливості неможливо зрозуміти для тих, хто не добре розбирається у внутрішній роботі iOS, але вона зазначила, що "ця проблема ще не виправлена для Mac та iPad, але зараз є лише локальною вразливістю через зміну 12.4 .1. "
Ці локальні вразливості, ймовірно, тепер усунуті за допомогою оновлення iOS 12.4.2 та виправлень для macOS.
Кредит зображення: blackzheep/Shutterstock
