Ενημερώστε τους Mac, τα άτομα και τα ρολόγια Apple και τα παλαιότερα iPhone, iPad και iPod Touches.
Η Apple χθες (26 Σεπτεμβρίου) κυκλοφόρησε μια επείγουσα ενημέρωση για Mac για να διορθώσει ένα ελάττωμα που θα επέτρεπε σε έναν "απομακρυσμένο εισβολέα … να προκαλέσει απροσδόκητο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα".
Σε απλά αγγλικά, αυτό σημαίνει ότι ένας χάκερ θα μπορούσε να έχει πρόσβαση στο Mac σας από το διαδίκτυο και να τρέξει κακόβουλο κώδικα ή να τερματίσει νόμιμες εφαρμογές. Περιττό να πω ότι αυτό είναι πολύ κακό.
Εκδόθηκαν επίσης μπαλώματα χθες για watchOS (5.3.2) και iOS 12 (12.4.2) για να διορθώσουν το ίδιο ελάττωμα. Τα νέα iPhone, iPad και iPod διορθώθηκαν την περασμένη εβδομάδα με την κυκλοφορία του iOS 13, αλλά πολλές παλαιότερες συσκευές iOS, όπως το iPhone 5s, 6 και 6 Plus, πρέπει να κολλήσουν με το iOS 12.
Οι επιδιορθώσεις Mac είναι για τις τρεις τελευταίες εκδόσεις του macOS - 10.14 Mojave, 10.13 High Sierra και 10.12 Sierra - αλλά δεν θα λάβετε νέο αριθμό έκδοσης για την κατασκευή σας. Παλαιότερες, μη υποστηριζόμενες εκδόσεις του macOS/OS X πιθανότατα επηρεάζονται επίσης. (Εάν εξακολουθείτε να εκτελείτε ένα από αυτά, ήρθε η ώρα να ενημερώσετε.)
Ξεκαθάρισμα ενός μυστηρίου
Η Apple δεν λέει πολλά περισσότερα για το ελάττωμα, εκτός από το ότι περιλαμβάνει «μια ανάγνωση εκτός ορίων [που] αντιμετωπίστηκε με βελτιωμένη επικύρωση εισροών», ανακαλύφθηκε από τους ερευνητές του Google Project Zero Samuel Groß και Natalie Silvanovich, και εκχωρήθηκε ο αριθμός κοινής ευπάθειας και εκθέσεων (CVE) CVE-2019-8641.
Αλλά αποδεικνύεται ότι η ευπάθεια επιστρέφει αρκετούς μήνες πίσω και παρέμεινε ανεπίλυτη πολύ μετά από μια παρόμοια σειρά ελαττωμάτων που διορθώθηκε.
Σήμερα το πρωί (27 Σεπτεμβρίου), ο Paul Ducklin του Sophos συνέδεσε τις τελείες και ανακάλυψε ότι αυτό είναι το τελευταίο από τα ελαττώματα κυρίως του iOS που αποκάλυψαν οι Groß και Silvanovich το καλοκαίρι και το μόνο από αυτά τα ελαττώματα που παρέμειναν ανεξήγητα και ανεπανόρθωτα σχεδόν δύο μήνες.
Mayσως θυμάστε ότι υπήρχαν ορισμένα ελαττώματα Apple Messages που αποκαλύφθηκαν στα τέλη Ιουλίου, τα οποία η Apple κυρίως αποκατέστησε με το iOS 12.4. Μερικά από τα ελαττώματα θα επέτρεπαν στους χάκερ να αναλάβουν τα iPhone απλά στέλνοντας ένα ειδικά δημιουργημένο μήνυμα.
Όπως είναι η τυπική διαδικασία, οι ερευνητές του Project Zero εξήγησαν πώς ακριβώς λειτουργούσαν τα σφάλματα αφού η Apple εξέδωσε το iOS 12.4. Αλλά συγκράτησαν πληροφορίες σχετικά με ένα ελάττωμα επειδή ένιωσαν ότι το iOS 12.4 δεν το διόρθωσε πλήρως.
"Παρακρατούμε το CVE-2019-8641 μέχρι την προθεσμία του, επειδή η διόρθωση της συμβουλευτικής δεν έλυσε το θέμα ευπάθειας", έγραψε ο Σιλβάνοβιτς στο Twitter στις 29 Ιουλίου.
Το μυστηριώδες ελάττωμα παρέμεινε ακάλυπτο για δύο ακόμη μήνες, ακόμη και όταν ο Silvanovich και ο Groß έκαναν την έρευνά τους στο δρόμο και παρουσίασαν τα ευρήματά τους στο συνέδριο ασφαλείας Black Hat τον Αύγουστο, και καθώς η Apple ενημέρωσε το iOS στην έκδοση 12.4.1 και κυκλοφόρησε ένα "συμπληρωματικό" ενημέρωση σε macOS Mojave 10.14.6.
Τέλος, πλήρης αποκάλυψη
Τώρα που όλα έχουν διορθωθεί, η γάτα είναι έξω από την τσάντα. Ο Silvanovich δημοσίευσε ήσυχα τις λεπτομέρειες του CVE-2019-8641 τη Δευτέρα (23 Σεπτεμβρίου), μετά την κυκλοφορία του iOS 13, σε μια ανάρτηση ιστολογίου του Project Zero.
Η εξήγησή της για το θέμα ευπάθειας είναι ακατανόητη για οποιονδήποτε δεν είναι καλά εξοικειωμένος με την εσωτερική λειτουργία του iOS, αλλά σημείωσε ότι "αυτό το ζήτημα δεν έχει διορθωθεί ακόμη για Mac και iPad, αλλά τώρα είναι μόνο μια τοπική ευπάθεια λόγω της αλλαγής στο 12.4 .1. "
Αυτές οι τοπικές ευπάθειες, κατά πάσα πιθανότητα, έχουν πλέον αντιμετωπιστεί με την ενημέρωση του iOS 12.4.2 και τις ενημερώσεις κώδικα macOS.
Πιστωτική εικόνα: blackzheep/Shutterstock