Javítsa ki Mac -jeit, embereit és Apple óráit, valamint régebbi iPhone -jait, iPadjeit és iPod Touch -jait.
Az Apple tegnap (szeptember 26.) kiadott egy vészhelyzeti frissítést a Mac számára, hogy kijavítsa azt a hibát, amely lehetővé teszi, hogy a "távoli támadó… váratlan alkalmazásleállást vagy tetszőleges kódfuttatást okozzon".
Egyszerű magyar nyelven ez azt jelenti, hogy egy hacker hozzáférhet a Mac számítógépéhez az internetről, és rosszindulatú kódot futtathat, vagy leállíthatja a jogos alkalmazásokat. Mondanom sem kell, hogy ez nagyon rossz.
Tegnap javításokat is kiadtak a watchOS (5.3.2) és az iOS 12 (12.4.2) rendszerekhez, hogy kijavítsák ugyanazt a hibát. Az új iPhone -ok, iPad -ek és iPod -ok a múlt héten javították ki az iOS 13 megjelenését, de sok régebbi iOS -eszköznek, például az iPhone 5s, 6 és 6 Plus -nak ragaszkodnia kell az iOS 12 -hez.
A Mac javítások a macOS utolsó három verziójára vonatkoznak - 10.14 Mojave, 10.13 High Sierra és 10.12 Sierra -, de nem kap új verziószámot a buildhez. A MacOS/OS X régebbi, nem támogatott verziói is valószínűleg érintettek. (Ha még mindig futtat egy ilyet, ideje frissíteni.)
Egy rejtély tisztázása
Az Apple nem sokat mond a hibáról, azon kívül, hogy "a határon kívüli olvasást [azzal] javított bemeneti érvényesítéssel oldják meg", fedezte fel a Google Project Zero kutatója, Samuel Groß és Natalie Silvanovich, és a CVE-2019-8641 számú közös biztonsági rést és kitettséget (CVE) kapta.
De kiderül, hogy a biztonsági rés több hónapra nyúlik vissza, és sokáig megoldatlan maradt a hasonló hibák kijavítása után.
Ma délelőtt (szeptember 27.) Sophos Paul Ducklin összekötötte a pontokat, és rájött, hogy ez az utolsó több, elsősorban iOS -hiba közül, amelyet Groß és Silvanovich a nyáron felfedezett, és ez az egyetlen hiba, amely megmagyarázhatatlan és javíthatatlan maradt közel két hónapja.
Emlékezhet arra, hogy július végén számos Apple Messages hibát fedeztek fel, amelyeket az Apple többnyire az iOS 12.4 segítségével javított. Néhány hiba lehetővé tette volna, hogy a hackerek egyszerűen egy speciálisan kialakított üzenet küldésével vehessék át az iPhone -okat.
A szokásos eljáráshoz hasonlóan a Project Zero kutatói pontosan elmagyarázták, hogyan működtek a hibák az Apple iOS 12.4 kiadása után. De visszatartották az egyik hibára vonatkozó információkat, mert úgy érezték, hogy az iOS 12.4 nem javította ki teljesen.
"A CVE-2019-8641 CV-t visszatartjuk a határidőig, mert a tanácsban szereplő javítás nem oldotta meg a biztonsági rést"-írta Silvanovich a Twitteren július 29-én.
A rejtélyes hiba még két hónapig nem derült ki, még akkor sem, amikor Silvanovich és Groß útközben folytatta kutatásait, és az augusztusi Black Hat biztonsági konferencián ismertette eredményeit, és mivel az Apple frissítette az iOS rendszert a 12.4.1 verzióra, és kiadott egy "kiegészítő" frissítés a macOS Mojave 10.14.6 -ra
Végül a teljes nyilvánosságra hozatal
Most, hogy mindent rendbe hoztak, a macska kikerült a táskából. Silvanovich csendesen nyilvánosságra hozta a CVE-2019-8641 adatait hétfőn (szeptember 23.), az iOS 13 megjelenése után, egy Project Zero blogbejegyzésben.
A sebezhetőségének magyarázata érthetetlen mindenki számára, aki nem járatos az iOS belső működésében, de megjegyezte, hogy "ezt a problémát még nem oldották meg Mac és iPad esetén, de ez már csak helyi sérülékenység a 12.4 változása miatt .1. "
Ezeket a helyi sebezhetőségeket feltehetően mostanra orvosolták az iOS 12.4.2 frissítéssel és a macOS javításokkal.
Kép hitel: blackzheep/Shutterstock