• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky
Home Články

Apple opravuje kritickou zranitelnost nultého dne v iPhonech, iPadech a počítačích Mac (aktualizace: záplata stažena)

itbiz
11. 7. 2023
| Články
Sophos představil XDR řešení pro synchronizované zabezpečení

Zdroj: Pixabay

Apple v tichosti stáhl svou nejnovější zero-day aktualizaci – co s tím?

Podle Betteridgeova zákona o novinových titulcích lze na jakýkoli titulek obsahující otázku okamžitě odpovědět jednoduchým „Ne“. Teorie, která stojí za tímto vtípkem (ve skutečnosti se nejedná o zákon, ani pravidlo, vlastně ani o nic víc než námět k zamyšlení), zřejmě spočívá v tom, že kdyby autor věděl, o čem mluví, a měl skutečné důkazy na podporu svého tvrzení, napsal by titulek jako jednoznačný fakt. My v Naked Security nejsme novináři, takže nás tento zákon naštěstí neomezuje.

Nemilosrdná odpověď na naši vlastní otázku v titulku výše zní: „Nikdo kromě Applu to neví a Apple k tomu nic neříká“. Možná lepší, ale vpravdě neuspokojivá, odpověď zní: „Počkejte a uvidíte“.

Rychlá reakce
Tento příběh začal pozdě večer 10. 7. 2023, kdy jsme vzrušeně sepsali doporučení o historicky druhé rychlé bezpečnostní reakci (Rapid Security Response, RSR) společnosti Apple.

Tyto RSR jsou, jak jsme vysvětlovali dříve, snahou společnosti Apple poskytovat mimořádné opravy dílčích problémů stejně rychle, jako to obvykle dělají dobře spravované open source projekty, kde tzv. zero-day záplaty často vycházejí do jednoho nebo dvou dnů od zjištění problému, přičemž opravy takových aktualizací následují okamžitě, pokud další zkoumání odhalí více problémů, které je třeba řešit.

Jedním z důvodů, proč mohou open source projekty uplatňovat tento přístup, je fakt, že obvykle existuje webová stránka s možností stažení úplného zdrojového kódu všech oficiálně vydaných verzí. Takže pokud spěcháte s nasazením nejnovějších oprav v řádu hodin, nikoli dnů nebo týdnů, a ty se neosvědčí, nic vám nebrání v možnosti vrátit se k předchozí verzi, dokud nebude hotová oprava pro tu nejnovější.

Oficiální cestou aktualizací softwaru Apple, přinejmenším pro mobilní zařízení, bylo ale vždy dodávání kompletních záplat na úrovni systému, které nelze nikdy vrátit zpět. Důvodem je, že se Applu nelíbí možnost, že by uživatelé záměrně downgradovali své systémy, aby využili staré chyby za účelem jailbreaku (tedy „odemknutí“ vlastních zařízení, které dovolí zasahovat do souborového systému a instalovat různé aplikace, které nebyly schváleny vývojářskými podmínkami Apple) nebo instalace alternativních operačních systémů.

Takže i když Apple vydal nouzové opravy bezpečnostních mezer nultého dne, které již byly aktivně zneužívány, musel přijít s něčím, co bylo v podstatě jednosměrným upgradem (a uživatelé museli věřit, že to tak bude), přestože by k opravě jasného a aktuálního nebezpečí stačila minimalistická aktualizace jediné součásti systému.

Proces RSR umožňuje rychlé záplatování, s možností spěšné instalace, která nevyžaduje, abyste telefon na 15 až 45 minut odpojili a opakovaně restartovali. Záplaty by navíc mělo být možné později odstranit (a opakovaně nainstalovat a odstranit), pokud se rozhodnete, že oprava byla horší než riziko.

Chyby dočasně opravené prostřednictvím RSR budou trvale opraveny v příští plné verzi, aby RSR nepotřebovaly nebo nedostaly zcela nové vlastní číslo verze. Místo toho se k nim připojí pořadové písmeno, takže první rychlá bezpečnostní reakce pro iOS 16.5.1 (která vyšla 10. 7. 2023) se zobrazí v Nastavení > Obecné > Informace jako 16.5.1 (a).

Nevíme, co se stane, pokud posloupnost někdy překročí označení písmenem (z), ale jsme ochotni si vsadit na to, že odpověď bude (aa), nebo možná (za), pokud je abecední řazení považováno za důležité.

Dnes tu a zítra pryč
Každopádně, jen pár hodin poté, co jsem všem doporučil, aby aktualizovali na iOS a iPadOS 16.5.1 (a), protože opravuje zero-day zranitelnost v kódu Apple WebKit, která by mohla být téměř jistě zneužita k malwarovým útokům, jako je implantace spywaru nebo získávání soukromých dat z telefonu, se tato aktualizace již nezobrazuje, když se pokusíte aktualizovat své zařízení pomocí volby Nastavení > Obecné > Aktualizace softwaru. Zvláštní poděkování patří Johnu Michaelu Lesliemu, který to na našem Facebooku ve svém příspěvku ohlásil.

Na vlastním bezpečnostním portálu společnosti Apple jsou (v okamžiku tvorby tohoto textu) stále uvedeny nejnovější aktualizace jako macOS 13.4.1 (a) a iOS/iPadOS 16.5.1 (a), datované k 10. 7. 2023, bez poznámek o tom, zda byly oficiálně pozastaveny, nebo ne. Zprávy webu MacRumors ale naznačují, že aktualizace byly prozatím staženy.

Jedním z předpokládaných důvodů je, že prohlížeč Safari od Applu se nyní v požadavcích na webová spojení identifikuje pomocí řetězce User-Agent, který ve svém čísle verze obsahuje doplněk (a).
Když jsme v aktualizovaném prohlížeči Safari v systému iOS namířili na naslouchající socket TCP, viděli jsme toto (pro lepší čitelnost formátováno se zalomením řádků):

$ ncat -vv -l 9999
Ncat: Version 7.94 ( https://nmap.org/ncat )
Ncat: Listening on :::9999
Ncat: Listening on 0.0.0.0:9999
Ncat: Connection from 10.42.42.1.
Ncat: Connection from 10.42.42.1:13337.
GET / HTTP/1.1
Host: 10.42.42.42:9999
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,
application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (iPhone;
CPU iPhone OS 16_5_1 like Mac OS X)
AppleWebKit/605.1.15 (KHTML, like Gecko)
Version/16.5.2 (a)
Mobile/15E148 Safari/604.1
Accept-Language: en-GB,en;q=0.9
Accept-Encoding: gzip, deflate
Connection: keep-alive

NCAT DEBUG: Closing fd 5.

Podle některých komentátorů serveru MacRumors řetězec „Version/“, který se skládá z obvyklých čísel a teček a podivného a neočekávaného textu v kulatých závorkách, mate některé webové stránky.
Ironií je, že všechny weby, které doplatily na toto zjevně zmatené označení verze, představují služby, ke kterým se mnohem častěji přistupuje pomocí specializovaných aplikací než prostřednictvím prohlížeče. Ale teoreticky to vypadá, že je překvapí, pokud se rozhodnete navštívit je s aktualizovanou verzí Safari s identifikátorem verze 16.5.2 (a).

Co se dá dělat?
Přesněji řečeno, jen Apple ví, co se právě děje, a nic nám o tom neříká. Alespoň ne oficiálně prostřednictvím svého bezpečnostního portálu (HT201222) nebo stránky O rychlých bezpečnostních reakcích (HT201224).

Pokud už tuto aktualizaci máte, doporučujeme ji neodstraňovat, pokud vám skutečně nebrání v používání telefonu s webovými stránkami nebo aplikacemi, které potřebujete k práci, nebo pokud vám vaše vlastní oddělení IT výslovně neřekne, abyste se vrátili k verzi macOS, iOS nebo iPadOS, která nemá označení „a“. Koneckonců, tato aktualizace byla považována za vhodnou pro rychlou reakci, protože zranitelnost, kterou opravuje, je bezpečnostní mezera v prohlížeči pro vzdálené spuštění kódu (RCE).

Pokud potřebujete nebo chcete RSR odstranit, můžete tak učinit následovně:
Pokud máte iPhone nebo iPad, přejděte do Nastavení > Obecné > Informace > Verze iOS/iPadOS a vyberte možnost Odebrat bezpečnostní reakci.
Pokud máte Mac, přejděte do Nastavení systému > Obecné > O systému a klikněte na ikonu (i) na konci položky s názvem macOS Ventura.
My jsme RSR hned nainstalovali na macOS Ventura 13.4.1 a iOS 16.5.1 a neměli jsme žádné problémy s procházením našich obvyklých webových stránek přes Safari nebo Edge. Nezapomeňte, že v mobilních zařízeních Apple používají všechny prohlížeče WebKit. Proto nemáme v úmyslu aktualizaci odstranit a nechceme to udělat ani experimentálně, protože netušíme, zda ji budeme moci poté znovu nainstalovat. Komentátoři naznačují, že se záplata jednoduše nenahlásí, když se o to pokusíte z nezáplatovaného zařízení. Ale nezkoušeli jsme znovu zazáplatovat dříve záplatované zařízení, abychom zjistili, zda se tím získá možnost aktualizaci opětovně načíst.

Jednoduše řečeno:
Pokud jste si již stáhli macOS 13.4.1 (a) nebo iOS/iPadOS 16.5.1 (a), ponechte si aktualizaci, pokud se jí nutně nemusíte zbavit, protože vás chrání před zero-day bezpečnostní mezerou.
Pokud jste ji nainstalovali a opravdu ji potřebujete nebo chcete odstranit, podívejte se na naše pokyny výše. Ale předpokládejte, že ji později nebudete moci znovu nainstalovat, a proto se zařadíte do třetí kategorie níže.
Pokud ji ještě nemáte, sledujte vývoj. Předpokládáme, že záplata (a) bude rychle nahrazena záplatou (b), protože celá myšlenka těchto „aktualizací s písmenky“ spočívá v tom, že mají být rychlou reakcí. Jistě to ale ví jen Apple.
Naše obvyklé předchozí rady doplníme slovy: Neotálejte a aktualizujte, jakmile vám to Apple a vaše zařízení umožní.

Autor: Paul Ducklin, bezpečnostní expert ve společnosti Sophos

Původní oznámení Apple opravuje kritickou zranitelnost nultého dne

Právě vyšla druhá verze aplikace Apple Rapid Security Response, v rámci které mohou uživatelé nejnovějších verzí macOS, iOS a iPadOS získat nouzové záplaty. Jejich výhodou je, že Applu netrvá tak dlouho je vytvořit, otestovat a zveřejnit, jako u aktualizace plné verze softwaru, a dlouho netrvá ani jejich stažení, instalace a aktivace. Současně neprovádějí nevratné změny, které nelze vrátit zpět, pokud se něco pokazí.

Rychlost je klíčová
Poslední výše uvedený bod je překvapivě důležitý vzhledem k tomu, že společnost Apple uživatelům nedovoluje odinstalovat plné aktualizace systému pro jejich iPhony nebo iPady, a to ani v případě, že zjistí, že způsobují vážné potíže a přejí si, aby je vůbec nepoužili.

Je to proto, že Apple nechce, aby uživatelé mohli záměrně software na svých zařízeních downgradovat, aby znovu zavedli staré chyby, o kterých nyní ví, že je lze využít pro tzv. jailbreak, tedy „odemknutí“ zařízení, které dovolí zasahovat do souborového systému a instalovat různé aplikace, které nebyly schváleny vývojářskými podmínkami Apple, nebo instalaci alternativního operačního systému, a to i na zařízeních, která Apple sám již nepodporuje.

I když své digitální zařízení úplně vymažete a znovu nainstalujete od začátku přes kabel USB pomocí nástroje DFU (přímá aktualizace firmwaru), servery společnosti Apple vědí, jakou verzi jste používali před přeinstalací, a nedovolí vám aktivovat obraz starého firmwaru na zařízení, které již bylo dříve aktualizováno.

Cena za toto obchodní rozhodnutí společnosti Apple udržovat uživatele na jednosměrné cestě upgradů iPhonů a iPadů je taková, že jednoduše nemůže přispěchat s nouzovými upgrady tak rychle, jak by si jinak přála (nebo jak byste si přáli sami uživatelé). Je to proto, že jediný způsob, jak opravit kritické problémy, které by upgrade mohl způsobit, je vydat další kompletní upgrade, který jej nahradí, protože neexistuje žádný rychlý proces opravy stávajícího úplného upgradu, který byl sám vydán příliš rychle.

Účelem Rapid Security Response je tento problém obejít, přinejmenším pro určitou část softwaru v zařízení, zejména pro Safari a další komponenty webového prohlížeče, které jsou běžně zneužívány zločinci k útokům, jako je skrytá implementace spywaru nebo infikování sledovacím malwarem.

Jak bylo uvedeno výše, záplaty Rapid Security Response se mají rychle nainstalovat a v případě potíží je lze snadno odstranit. Podle vyjádření společnosti Apple jsou záplaty Rapid Security Response navrženy tak, aby „přinášely důležitá bezpečnostní vylepšení mezi aktualizacemi softwaru – například vylepšení webového prohlížeče Safari, frameworku WebKit nebo jiných kritických systémových knihoven. Mohou být také použity k rychlejší eliminaci některých bezpečnostních problémů, jako například těch, co už byly odhaleny a nahlášeny jako zneužitelné.“

Význam záplat prohlížeče
Samotné prohlížení stránek by mělo být poměrně málo rizikové, protože prohlížeč je naprogramován tak, aby uživatele chránil před bezprostředním nebezpečím. Z pohledu kybernetické bezpečnosti by totiž obsah prohlížeče neměl způsobit vůbec žádné nebo minimální softwarové potíže, pokud se pouze díváte na webové stránky.

Jistě, můžete být oklamáni falešným obsahem, ale to nebude mít přímý vliv na zabezpečení kódu běžícího v samotném zařízení. Můžete být podvedeni, abyste schválili nějakou rizikovou akci, například instalaci podvodné aplikace nebo vyplnění falešného přihlašovacího formuláře, ale obvykle máte alespoň nějakou šanci odhalit, že jste podváděni. Jednoduše řečeno, pokud jste na webu „jen na návštěvě“, nemělo by vám hrozit žádné riziko spojené s aktivitou při prohlížení.

Samozřejmě, že schopnost prohlížeče ochránit vás před zcela automatizovanými útoky a zajistit, aby obsah webové stránky sám o sobě nikdy nestačil k tomu, aby vás infikoval malwarem nebo ukradl data z vašeho zařízení, závisí na tom, zda prohlížeč neobsahuje bezpečnostní chyby, jejichž prostřednictvím by mohl nastražený obsah obejít vlastní bezpečnostní štíty prohlížeče a vystavit vás útoku, kterému se říká drive-by instalace nebo look-and-get-pwned.

Co je potřeba nyní udělat?
Nejnovější záplaty Rapid Security Response je třeba brát jako kritické. Vzhledem k opravené chybě předpokládáme, že souvisejí s živým útokem spywaru nebo malwaru, který právě probíhá:

Impact: Processing web content may lead
to arbitrary code execution.
Apple is aware of a report that
this issue may have been
actively exploited.

Description: The issue was addressed
with improved checks.

CVE-2023-37450: an anonymous researcher

V žargonu „aktivně zneužitý“ (actively exploited ) znamená, že se jedná se o zero-day zranitelnost, nebo ještě přímočařeji „útočníci na ni přišli jako první“, což nám říká, abychom aktualizaci neodkládali a prostě ji udělali ještě dnes.

V Rapid Security Response jsou k dispozici nejnovější verze systémů macOS Ventura 13.4.1, iOS 16.5.1 a iPadOS 16.5.1. Tyto verze se po instalaci rychlé záplaty budou zobrazovat jako 13.4.1 (a), resp. 16.5.1 (a), přičemž koncové písmeno (a) zmizí, pokud záplatu později odinstalujete.
Pro starší podporované verze macOS Big Sur a macOS Monterey existuje staronová aktualizace systému, která pouze opravuje Safari, které se po aktualizaci bude zobrazovat jako Safari 16.5.2.

Zatím však [2023-07-10 23:00:00Z] nejsou k dispozici žádné aktualizace pro další platformy Apple, i když je možné, že se problém týká i systému iOS 15, který je stále oficiálně podporován na starších iPhonech a iPadech, a také hodinek a televizorů Apple Watch.

Přejděte do Nastavení > Obecné > Aktualizace softwaru a zkontrolujte, zda jste již správně obdrželi a nainstalovali tuto nouzovou záplatu. Nezapomeňte, že na iPhonech a iPadech jsou všechny prohlížeče a aplikace, které mohou zobrazovat webový obsah (ať už jsou od Applu, Mozilly, Microsoftu, Googlu nebo jiného výrobce), nuceny používat na pozadí WebKit. Takže pouhá instalace alternativního prohlížeče a vyhýbání se po určitou dobu prohlížeči Safari, sama o sobě nestačí. Na starších počítačích Mac zkontrolujte, zda není k dispozici aktualizace Safari 16.5.2, a to pomocí nabídky O tomto počítači > Aktualizace softwaru…

Autor: Paul Ducklin, bezpečnostní expert ve společnosti Sophos

Rubriky: Security

Související příspěvky

Zprávičky

Univerzitu obrany napadli hackeři, údajně odcizili data z rektorátu

27. 9. 2023
Zprávičky

DDoS útoky na české firmy byly na konci prázdnin na vzestupu, výrazně roste i jejich kvalita

27. 9. 2023
Padla další rekordní pokuta za porušení GDPR
Články

Česká republika je 16. na světě v krádežích e-mailových účtů

21. 9. 2023
Zprávičky

Přehled hrozeb pro Android: Zdrojem škodlivého kódu byly letos v létě nejčastěji mobilní hry

20. 9. 2023

Zprávičky

Alibaba zahájila restrukturalizaci, na burzu v Hongkongu uvede divizi Cainiao

ČTK
28. 9. 2023

Čínská internetová společnost Alibaba zahájila avizovanou restrukturalizaci, která předpokládá, že firma vyčlení logistickou součást

Univerzitu obrany napadli hackeři, údajně odcizili data z rektorátu

ČTK
27. 9. 2023

Univerzita obrany podle serveru iROZHLAS.cz čelí kybernetickému útoku, hackeři údajně odcizili data z rektorátu.

DDoS útoky na české firmy byly na konci prázdnin na vzestupu, výrazně roste i jejich kvalita

Pavel Houser
27. 9. 2023

Počet i intenzita DDoS útoků na české firmy během srpna oproti klidné první polovině

Sociální síť Threads prozatím zaostává za sítí X, které chtěla konkurovat

ČTK
27. 9. 2023

Sociální síti Threads pro zasílání krátkých zpráv v reálném čase, která patří do skupiny

Cisco představuje portfolio řešení pro Wi-Fi 6

Eurokomisař Breton vyzval šéfa Applu, aby zpřístupnil ekosystém firmy konkurenci

ČTK
26. 9. 2023

Eurokomisař pro vnitřní trh Thierry Breton dnes vyzval šéfa americké technologické společnosti Apple Tima

Americká obchodní komise podala antimonopolní žalobu na Amazon

ČTK
26. 9. 2023

Americká Federální obchodní komise (FTC) dnes podala dlouho očekávanou antimonopolní žalobu na americký internetový

ZEBRA SYSTEMS: 10 nejpopulárnějších automatizačních skriptů N-able

Pavel Houser
26. 9. 2023

Zákazníci stále více využívají automatizační nástroje, které mají k dispozici v rámci automatizační „kuchařky“ N-able, roste

Evropská komise zablokovala plán firmy Booking převzít konkurenční eTraveli

ČTK
26. 9. 2023

Evropská komise (EK) vetovala návrh internetové rezervační společnosti Booking Holdings převzít za 1,63 miliardy

Tiskové zprávy

Nový notebook Acer Nitro V 15 usnadňuje hraní her

NÚKIB aktualizoval forenzní aplikaci Maldump

Krajský úřad Středočeského kraje spustil zaměstnanecký portál

Ekonomika Salesforce poháněná umělou inteligencí přispěje v letech 2022 až 2028 k vytvoření 11,6 milionu pracovních míst a výnosu 2,02 bilionu dolarů

Eaton nasadil čtyři autonomní mobilní roboty MiR k optimalizaci intralogistických procesů

GPU NVIDIA RTX akcelerují AI ve více než stovce aplikací pro tvorbu obsahu napříč odvětvími

Zpráva dne

OMEZENÁ NABÍDKA od Goodoffer24: 91% sleva na Windows 10/11 za € 12 a Office 2016 za € 23

OMEZENÁ NABÍDKA od Goodoffer24: 91% sleva na Windows 10/11 za € 12 a Office 2016 za € 23

Redakce
1. 9. 2023

Jsme na začátku září. Zvláště těm, kteří rádi utrácejí za hardware důležité peníze, šetří...

Kalendář

Říj 24
Celý den

Bezpečnosť a dostupnosť dát

Lis 15
Celý den

Umělá inteligence v IT infrastruktuře

Zobrazit kalendář

Komentujeme

Chvála černých skřínek

Web v éře, kdy obsah vytváří umělá inteligence

Pavel Houser
1. 9. 2023

Hned několik analýz a komentářů ve významných médiích spekulovalo v poslední době o tom, zda současná...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Slovník

ATS – Average Time Spent

Blokování telefonu

Tier

Nejpopulárnější články

Synology DiskStation DS223: Moderní kompaktní NAS nejen pro SOHO

Synology DiskStation DS223: Moderní kompaktní NAS nejen pro SOHO

Redakce
21. 8. 2023

Ransomwarový útok stojí české oběti 8,25 milionu korun

Zakázat zákonem platby ransomwarovým vyděračům není reálné

Pavel Houser
9. 8. 2023

Maximální úroveň kontroly a údržby průmyslových zařízení s pomocí AI

Maximální úroveň kontroly a údržby průmyslových zařízení s pomocí AI

Josef Švenda
22. 6. 2023

Sophos představil XDR řešení pro synchronizované zabezpečení

Získat přístup k Active Directory trvá útočníkům v průměru den

itbiz
30. 8. 2023

Hrátky s magnetickými víry

Feroelektricita a supravodivost se již nevylučují

Pavel Houser
10. 8. 2023

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Za výběrem levotočivých aminokyselin možná stojí už RNA
  • V CERNu se podařilo nejpřesnější měření konstanty silné interakce
  • Z lidí mají v zoo radost hlavně sloni

RSS AbcLinuxu RSS

  • LMDE 6 Faye
  • Bezpečnostní problém GPU.zip, útok postranním kanálem na grafickou kartu (GPU)
  • Projekt GNU dnes slaví 40. výročí

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.