Кръпнете вашите Mac, хора и Apple часовници и по -стари iPhone, iPad и iPod Touch.
Apple вчера (26 септември) пусна спешна актуализация за Mac, за да поправи недостатък, който би позволил на „отдалечен атакуващ … да причини неочаквано прекратяване на приложението или произволно изпълнение на код“.
На обикновен английски език това означава, че хакер може да получи достъп до вашия Mac от интернет и да стартира злонамерен код или да изключи легитимни приложения. Излишно е да казвам, че това е много лошо.
Вчера бяха пуснати и корекции за watchOS (5.3.2) и iOS 12 (12.4.2) за отстраняване на същия недостатък. Новите iPhone, iPad и iPod получиха корекция миналата седмица с пускането на iOS 13, но много по -стари устройства с iOS, като iPhone 5s, 6 и 6 Plus, трябва да се придържат към iOS 12.
Пачовете за Mac са за последните три версии на macOS - 10.14 Mojave, 10.13 High Sierra и 10.12 Sierra - но няма да получите нов номер на версията за вашата компилация. По -старите, неподдържани версии на macOS/OS X вероятно също са засегнати. (Ако все още използвате един от тях, е време да го актуализирате.)
Разясняване на мистерия
Apple не казва много повече за недостатъка, освен че включва „четене извън границите [което] е било адресирано с подобрена валидация на входа”, беше открито от изследователите на Google Project Zero Самюел Грос и Натали Силванович и беше присвоен номер на общата уязвимост и експозиция (CVE) CVE-2019-8641.
Оказва се обаче, че уязвимостта се връща няколко месеца назад и остава нерешена дълго след като подобен набор от недостатъци е отстранен.
Тази сутрин (27 септември) Пол Дъклин от Sophos свързва точките и установява, че това е последният от няколкото главно недостатъци на iOS, които Грос и Силванович разкриха през лятото, и единственият от тези недостатъци, който остава необясним и неизправен близо два месеца.
Може би си спомняте, че в края на юли бяха разкрити редица недостатъци на Apple Messages, които Apple най -вече отстрани с iOS 12.4. Някои от недостатъците биха позволили на хакерите да превземат iPhone, просто като изпратят специално създадено съобщение.
Като стандартна процедура, изследователите на Project Zero обясниха как точно са работили грешките, след като Apple издаде iOS 12.4. Но те задържаха информация за един недостатък, защото смятаха, че iOS 12.4 не го е поправил напълно.
„Задържаме CVE-2019-8641 до крайния му срок, тъй като поправката в консултацията не отстрани уязвимостта“, написа Силванович в Twitter на 29 юли.
Мистериозният недостатък остава неразкрит в продължение на още два месеца, дори когато Силванович и Грос предприеха проучванията си на пътя и представиха своите констатации на конференцията по сигурността на Black Hat през август, и тъй като Apple актуализира iOS до версия 12.4.1 и пусна „допълнителна“ актуализация до macOS Mojave 10.14.6.
И накрая, пълно разкриване
Сега, когато всичко наистина е оправено, котката е излязла от торбата. Силванович тихо публикува подробностите за CVE-2019-8641 в понеделник (23 септември), след пускането на iOS 13, в публикация в Project Zero в блога.
Обяснението й за уязвимостта е извън разбирането за всеки, който не е добре запознат с вътрешната работа на iOS, но тя отбеляза, че „този проблем все още не е отстранен за Mac и iPad, но сега е само локална уязвимост поради промяната в 12.4 .1. "
Предполага се, че тези локални уязвимости вече са отстранени с актуализацията на iOS 12.4.2 и кръпките за macOS.
Кредит на изображението: blackzheep/Shutterstock