Korjaa Macit, ihmiset ja Apple -kellot sekä vanhemmat iPhonet, iPadit ja iPod Touchit.
Apple julkaisi eilen (26. syyskuuta) Mac -tietokoneille hätäpäivityksen korjatakseen virheen, joka antaisi "etähyökkääjän … aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen".
Selkeällä englanniksi se tarkoittaa, että hakkeri voi käyttää Maciasi Internetistä ja suorittaa haitallista koodia tai sulkea lailliset sovellukset. Tarpeetonta sanoa, että se on erittäin huono.
Myös watchOS (5.3.2) ja iOS 12 (12.4.2) -käyttöjärjestelmään julkaistiin korjauksia saman virheen korjaamiseksi. Uudet iPhonet, iPadit ja iPodit saivat korjauksen viime viikolla, kun iOS 13 julkaistiin, mutta monet vanhemmat iOS -laitteet, kuten iPhone 5s, 6 ja 6 Plus, on pidettävä kiinni iOS 12: sta.
Mac -korjaukset ovat macOS: n kolmen viimeisen version versioita - 10.14 Mojave, 10.13 High Sierra ja 10.12 Sierra - mutta et saa uutta versiota versiollesi. Tämä vaikuttaa todennäköisesti myös vanhempiin, ei -tuettuihin MacOS/OS X -versioihin. (Jos käytät edelleen yhtä niistä, on aika päivittää.)
Selvittää mysteeri
Apple ei puhu paljoa enemmän virheestä, paitsi että siihen liittyy "rajojen ulkopuolinen lukeminen [jota] parannettiin syötteen validoinnilla", löysivät Google Project Zero -tutkijat Samuel Groß ja Natalie Silvanovich, ja sille on annettu yhteisen haavoittuvuuden ja altistumisen (CVE) numero CVE-2019-8641.
Mutta osoittautuu, että haavoittuvuus ulottuu useita kuukausia, ja se jäi ratkaisematta kauan sen jälkeen, kun vastaava virheiden määrä oli korjattu.
Tänä aamuna (27. syyskuuta) Sophosin Paul Ducklin yhdisti pisteet ja huomasi, että tämä on viimeinen useista lähinnä iOS -virheistä, jotka Groß ja Silvanovich paljastivat kesän aikana, ja ainoa näistä puutteista, jotka ovat jääneet selittämättä ja korjaamatta lähes kaksi kuukautta.
Saatat muistaa, että heinäkuun lopussa paljastui useita Apple Messages -virheitä, jotka Apple pääosin korjasi iOS 12.4: llä. Jotkut puutteet olisivat antaneet hakkereiden ottaa haltuunsa iPhonen yksinkertaisesti lähettämällä erityisesti muotoillun viestin.
Kuten tavallinen menettely, Project Zero -tutkijat selittivät tarkalleen, kuinka viat toimivat, kun Apple julkaisi iOS 12.4: n. Mutta he pidätelivät tietoja yhdestä virheestä, koska he tunsivat, että iOS 12.4 ei korjaa sitä kokonaan.
"Pidätämme CVE-2019-8641 määräaikaan asti, koska neuvoa-antava korjaus ei ratkaissut haavoittuvuutta", Silvanovich kirjoitti Twitterissä 29. heinäkuuta.
Salaperäinen vika jäi paljastamatta vielä kaksi kuukautta, vaikka Silvanovich ja Groß ryhtyivät tutkimukseen tiellä ja esittelivät havaintonsa Black Hat -turvakonferenssissa elokuussa, ja kun Apple päivitti iOS: n versioon 12.4.1 ja julkaisi "täydentävän" päivitä macOS Mojave 10.14.6.
Lopuksi täydellinen paljastus
Nyt kun kaikki on todella korjattu, kissa on poissa pussista. Silvanovich julkisti hiljaa CVE-2019-8641: n tiedot maanantaina (23. syyskuuta) iOS 13: n julkaisun jälkeen Project Zero -blogissa.
Hänen selityksensä haavoittuvuudesta on ymmärrettävää kenellekään, joka ei ole perehtynyt iOS: n sisäiseen toimintaan, mutta hän totesi, että "tätä ongelmaa ei ole vielä korjattu Macille ja iPadille, mutta se on nyt vain paikallinen haavoittuvuus 12.4. .1. "
Näitä paikallisia haavoittuvuuksia oletettavasti on nyt käsitelty iOS 12.4.2 -päivityksellä ja macOS -korjauksilla.
Kuvaluotto: blackzheep/Shutterstock