Обновите свои Mac, люди, часы Apple Watch и старые модели iPhone, iPad и iPod Touch.
Вчера (26 сентября) Apple выпустила экстренное обновление для Mac, чтобы исправить ошибку, которая позволяла «удаленному злоумышленнику… вызвать неожиданное завершение работы приложения или выполнение произвольного кода».
Проще говоря, это означает, что хакер может получить доступ к вашему Mac из Интернета и запустить вредоносный код или закрыть законные приложения. Излишне говорить, что это очень плохо.
Вчера также были выпущены патчи для watchOS (5.3.2) и iOS 12 (12.4.2), чтобы исправить ту же ошибку. Новые iPhone, iPad и iPod получили исправление на прошлой неделе с выпуском iOS 13, но многие старые устройства iOS, такие как iPhone 5s, 6 и 6 Plus, должны придерживаться iOS 12.
Исправления для Mac предназначены для последних трех версий macOS - 10.14 Mojave, 10.13 High Sierra и 10.12 Sierra, но вы не получите новый номер версии для своей сборки. Вероятно, также затронуты старые неподдерживаемые версии macOS / OS X. (Если вы все еще используете один из них, пора обновить.)
Раскрытие тайны
Apple не говорит больше о недостатке, кроме того, что он включает в себя «чтение за пределами допустимого диапазона, [которое] было устранено с помощью улучшенной проверки ввода», было обнаружено исследователями Google Project Zero Самуэлем Гроссом и Натали Сильванович и было присвоил номер Common Vulnerability and Exposures (CVE) CVE-2019-8641.
Но оказалось, что уязвимость возникла несколько месяцев назад и оставалась нерешенной еще долгое время после того, как была исправлена такая же масса недостатков.
Этим утром (27 сентября) Пол Даклин из Sophos соединил точки и выяснил, что это последний из нескольких недостатков, в основном iOS, которые Грос и Сильванович выявили за лето, и единственный из тех недостатков, которые остались необъясненными и не исправленными. почти два месяца.
Вы можете вспомнить, что в конце июля был обнаружен ряд недостатков сообщений Apple Messages, которые Apple в основном исправила с помощью iOS 12.4. Некоторые из недостатков позволили бы хакерам захватить iPhone, просто отправив специально созданное сообщение.
Как это стандартная процедура, исследователи Project Zero объяснили, как именно работали ошибки после того, как Apple выпустила iOS 12.4. Но они скрыли информацию об одном недостатке, потому что считали, что iOS 12.4 не исправила его полностью.
«Мы удерживаем CVE-2019-8641 до истечения крайнего срока, потому что исправление в сообщении не устранило уязвимость», - написал Сильванович в Twitter 29 июля.
Загадочный недостаток оставался нераскрытым еще два месяца, даже когда Сильванович и Гросс продолжили свое исследование и представили свои выводы на конференции по безопасности Black Hat в августе, а также когда Apple обновила iOS до версии 12.4.1 и выпустила «дополнительное приложение». обновление до macOS Mojave 10.14.6.
Наконец, полное раскрытие
Теперь, когда все действительно починили, кошка вышла из мешка. Сильванович незаметно обнародовал подробности CVE-2019-8641 в понедельник (23 сентября), после выпуска iOS 13, в сообщении в блоге Project Zero.
Ее объяснение уязвимости непонятно для всех, кто не разбирается во внутренней работе iOS, но она отметила, что «эта проблема еще не исправлена для Mac и iPad, но теперь это только локальная уязвимость из-за изменения в 12.4. .1. "
Предположительно, эти локальные уязвимости устранены с помощью обновления iOS 12.4.2 и исправлений для macOS.
Изображение предоставлено: blackzheep / Shutterstock