Opravte svoje počítače Mac, ľudí a hodinky Apple Watch a staršie telefóny iPhone, iPad a iPod Touch.
Spoločnosť Apple včera (26. septembra) vydala núdzovú aktualizáciu pre počítače Mac, ktorá opravuje chybu, ktorá by umožnila „vzdialenému útočníkovi … spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu“.
V jednoduchej angličtine to znamená, že hacker mohol získať prístup k vášmu počítaču Mac z internetu a spustiť škodlivý kód alebo vypnúť legitímne aplikácie. Netreba dodávať, že je to veľmi zlé.
Včera boli vydané aj opravy pre watchOS (5.3.2) a iOS 12 (12.4.2) na opravu tej istej chyby. Nové telefóny iPhone, iPad a iPod prešli opravou minulý týždeň s vydaním systému iOS 13, ale mnoho starších zariadení so systémom iOS, ako napríklad iPhone 5s, 6 a 6 Plus, sa musí držať systému iOS 12.
Opravy Mac sú pre posledné tri verzie systému macOS - 10.14 Mojave, 10.13 High Sierra a 10.12 Sierra - pre svoju zostavu však nezískate nové číslo verzie. Pravdepodobne budú ovplyvnené aj staršie nepodporované verzie systému macOS/OS X. (Ak stále používate jeden z nich, je čas ho aktualizovať.)
Vyčistenie záhady
Spoločnosť Apple nehovorí o chybe oveľa viac, okrem toho, že zahŕňa „prekročenie hranice [to] bolo vyriešené vylepšením overovania vstupov“, zistili vedci Google Project Zero Samuel Groß a Natalie Silvanovich a priradené číslo spoločnej zraniteľnosti a expozícií (CVE) CVE-2019-8641.
Ukazuje sa však, že zraniteľnosť siaha niekoľko mesiacov a zostala nevyriešená dlho po tom, čo bol podobný súbor chýb opravený.
Dnes ráno (27. septembra), Sophos 'Paul Ducklin spojil body a zistil, že toto je posledný z niekoľkých nedostatkov hlavne iOS, ktoré Groß a Silvanovich odhalili v lete, a jediná z týchto chýb, ktoré zostali nevysvetlené a neboli opravené. skoro dva mesiace.
Môžete si spomenúť, že koncom júla bolo odhalených niekoľko chýb v správach Apple, ktoré Apple väčšinou napravil s iOS 12.4. Niektoré z chýb by umožnili hackerom prevziať kontrolu nad zariadeniami iPhone jednoducho odoslaním špeciálne vytvorenej správy.
Ako je to štandardným postupom, vedci Project Zero presne vysvetlili, ako chyby fungovali po vydaní Apple iOS 12.4. Informácie o jednej chybe však zatajovali, pretože sa domnievali, že iOS 12.4 ho úplne neopravil.
„Pozastavujeme CVE-2019-8641 až do jeho termínu, pretože oprava v upozornení nevyriešila zraniteľnosť,“ napísal Silvanovich na Twitteri 29. júla.
Záhadná chyba zostala neodhalená ďalšie dva mesiace, aj keď Silvanovich a Groß vyrazili na prieskum a predstavili svoje zistenia na bezpečnostnej konferencii Black Hat v auguste a keď Apple aktualizoval iOS na verziu 12.4.1 a vydal „doplnkový“ aktualizácia na macOS Mojave 10.14.6.
Nakoniec úplné odhalenie
Teraz, keď je všetko naozaj opravené, je mačka z vrecka. V pondelok (23. septembra), po vydaní systému iOS 13, Silvanovich v tichosti zverejnil podrobnosti o CVE-2019-8641 v blogu Project Zero.
Jej vysvetlenie tejto zraniteľnosti je nepochopiteľné pre kohokoľvek, kto sa nevyzná v internom fungovaní systému iOS, ale poznamenala, že „tento problém ešte nebol vyriešený pre počítače Mac a iPad, ale v dôsledku zmeny v 12.4 je teraz iba lokálnou zraniteľnosťou. .1. "
Tieto lokálne zraniteľnosti boli pravdepodobne vyriešené aktualizáciou iOS 12.4.2 a záplatami macOS.
Obrazový kredit: blackzheep/Shutterstock