Apple opravuje kritickou zranitelnost nultého dne v iPhonech, iPadech a počítačích Mac (aktualizace: záplata stažena)

Apple v tichosti stáhl svou nejnovější zero-day aktualizaci – co s tím?

Podle Betteridgeova zákona o novinových titulcích lze na jakýkoli titulek obsahující otázku okamžitě odpovědět jednoduchým „Ne“. Teorie, která stojí za tímto vtípkem (ve skutečnosti se nejedná o zákon, ani pravidlo, vlastně ani o nic víc než námět k zamyšlení), zřejmě spočívá v tom, že kdyby autor věděl, o čem mluví, a měl skutečné důkazy na podporu svého tvrzení, napsal by titulek jako jednoznačný fakt. My v Naked Security nejsme novináři, takže nás tento zákon naštěstí neomezuje.

Nemilosrdná odpověď na naši vlastní otázku v titulku výše zní: „Nikdo kromě Applu to neví a Apple k tomu nic neříká“. Možná lepší, ale vpravdě neuspokojivá, odpověď zní: „Počkejte a uvidíte“.

Rychlá reakce
Tento příběh začal pozdě večer 10. 7. 2023, kdy jsme vzrušeně sepsali doporučení o historicky druhé rychlé bezpečnostní reakci (Rapid Security Response, RSR) společnosti Apple.

Tyto RSR jsou, jak jsme vysvětlovali dříve, snahou společnosti Apple poskytovat mimořádné opravy dílčích problémů stejně rychle, jako to obvykle dělají dobře spravované open source projekty, kde tzv. zero-day záplaty často vycházejí do jednoho nebo dvou dnů od zjištění problému, přičemž opravy takových aktualizací následují okamžitě, pokud další zkoumání odhalí více problémů, které je třeba řešit.

Jedním z důvodů, proč mohou open source projekty uplatňovat tento přístup, je fakt, že obvykle existuje webová stránka s možností stažení úplného zdrojového kódu všech oficiálně vydaných verzí. Takže pokud spěcháte s nasazením nejnovějších oprav v řádu hodin, nikoli dnů nebo týdnů, a ty se neosvědčí, nic vám nebrání v možnosti vrátit se k předchozí verzi, dokud nebude hotová oprava pro tu nejnovější.

Oficiální cestou aktualizací softwaru Apple, přinejmenším pro mobilní zařízení, bylo ale vždy dodávání kompletních záplat na úrovni systému, které nelze nikdy vrátit zpět. Důvodem je, že se Applu nelíbí možnost, že by uživatelé záměrně downgradovali své systémy, aby využili staré chyby za účelem jailbreaku (tedy „odemknutí“ vlastních zařízení, které dovolí zasahovat do souborového systému a instalovat různé aplikace, které nebyly schváleny vývojářskými podmínkami Apple) nebo instalace alternativních operačních systémů.

Takže i když Apple vydal nouzové opravy bezpečnostních mezer nultého dne, které již byly aktivně zneužívány, musel přijít s něčím, co bylo v podstatě jednosměrným upgradem (a uživatelé museli věřit, že to tak bude), přestože by k opravě jasného a aktuálního nebezpečí stačila minimalistická aktualizace jediné součásti systému.

Proces RSR umožňuje rychlé záplatování, s možností spěšné instalace, která nevyžaduje, abyste telefon na 15 až 45 minut odpojili a opakovaně restartovali. Záplaty by navíc mělo být možné později odstranit (a opakovaně nainstalovat a odstranit), pokud se rozhodnete, že oprava byla horší než riziko.

Chyby dočasně opravené prostřednictvím RSR budou trvale opraveny v příští plné verzi, aby RSR nepotřebovaly nebo nedostaly zcela nové vlastní číslo verze. Místo toho se k nim připojí pořadové písmeno, takže první rychlá bezpečnostní reakce pro iOS 16.5.1 (která vyšla 10. 7. 2023) se zobrazí v Nastavení > Obecné > Informace jako 16.5.1 (a).

Nevíme, co se stane, pokud posloupnost někdy překročí označení písmenem (z), ale jsme ochotni si vsadit na to, že odpověď bude (aa), nebo možná (za), pokud je abecední řazení považováno za důležité.

Dnes tu a zítra pryč
Každopádně, jen pár hodin poté, co jsem všem doporučil, aby aktualizovali na iOS a iPadOS 16.5.1 (a), protože opravuje zero-day zranitelnost v kódu Apple WebKit, která by mohla být téměř jistě zneužita k malwarovým útokům, jako je implantace spywaru nebo získávání soukromých dat z telefonu, se tato aktualizace již nezobrazuje, když se pokusíte aktualizovat své zařízení pomocí volby Nastavení > Obecné > Aktualizace softwaru. Zvláštní poděkování patří Johnu Michaelu Lesliemu, který to na našem Facebooku ve svém příspěvku ohlásil.

Na vlastním bezpečnostním portálu společnosti Apple jsou (v okamžiku tvorby tohoto textu) stále uvedeny nejnovější aktualizace jako macOS 13.4.1 (a) a iOS/iPadOS 16.5.1 (a), datované k 10. 7. 2023, bez poznámek o tom, zda byly oficiálně pozastaveny, nebo ne. Zprávy webu MacRumors ale naznačují, že aktualizace byly prozatím staženy.

Jedním z předpokládaných důvodů je, že prohlížeč Safari od Applu se nyní v požadavcích na webová spojení identifikuje pomocí řetězce User-Agent, který ve svém čísle verze obsahuje doplněk (a).
Když jsme v aktualizovaném prohlížeči Safari v systému iOS namířili na naslouchající socket TCP, viděli jsme toto (pro lepší čitelnost formátováno se zalomením řádků):

$ ncat -vv -l 9999
Ncat: Version 7.94 ( https://nmap.org/ncat )
Ncat: Listening on :::9999
Ncat: Listening on 0.0.0.0:9999
Ncat: Connection from 10.42.42.1.
Ncat: Connection from 10.42.42.1:13337.
GET / HTTP/1.1
Host: 10.42.42.42:9999
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,
application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (iPhone;
CPU iPhone OS 16_5_1 like Mac OS X)
AppleWebKit/605.1.15 (KHTML, like Gecko)
Version/16.5.2 (a)
Mobile/15E148 Safari/604.1
Accept-Language: en-GB,en;q=0.9
Accept-Encoding: gzip, deflate
Connection: keep-alive

NCAT DEBUG: Closing fd 5.

Podle některých komentátorů serveru MacRumors řetězec „Version/“, který se skládá z obvyklých čísel a teček a podivného a neočekávaného textu v kulatých závorkách, mate některé webové stránky.
Ironií je, že všechny weby, které doplatily na toto zjevně zmatené označení verze, představují služby, ke kterým se mnohem častěji přistupuje pomocí specializovaných aplikací než prostřednictvím prohlížeče. Ale teoreticky to vypadá, že je překvapí, pokud se rozhodnete navštívit je s aktualizovanou verzí Safari s identifikátorem verze 16.5.2 (a).

Co se dá dělat?
Přesněji řečeno, jen Apple ví, co se právě děje, a nic nám o tom neříká. Alespoň ne oficiálně prostřednictvím svého bezpečnostního portálu (HT201222) nebo stránky O rychlých bezpečnostních reakcích (HT201224).

Pokud už tuto aktualizaci máte, doporučujeme ji neodstraňovat, pokud vám skutečně nebrání v používání telefonu s webovými stránkami nebo aplikacemi, které potřebujete k práci, nebo pokud vám vaše vlastní oddělení IT výslovně neřekne, abyste se vrátili k verzi macOS, iOS nebo iPadOS, která nemá označení „a“. Koneckonců, tato aktualizace byla považována za vhodnou pro rychlou reakci, protože zranitelnost, kterou opravuje, je bezpečnostní mezera v prohlížeči pro vzdálené spuštění kódu (RCE).

Pokud potřebujete nebo chcete RSR odstranit, můžete tak učinit následovně:
Pokud máte iPhone nebo iPad, přejděte do Nastavení > Obecné > Informace > Verze iOS/iPadOS a vyberte možnost Odebrat bezpečnostní reakci.
Pokud máte Mac, přejděte do Nastavení systému > Obecné > O systému a klikněte na ikonu (i) na konci položky s názvem macOS Ventura.
My jsme RSR hned nainstalovali na macOS Ventura 13.4.1 a iOS 16.5.1 a neměli jsme žádné problémy s procházením našich obvyklých webových stránek přes Safari nebo Edge. Nezapomeňte, že v mobilních zařízeních Apple používají všechny prohlížeče WebKit. Proto nemáme v úmyslu aktualizaci odstranit a nechceme to udělat ani experimentálně, protože netušíme, zda ji budeme moci poté znovu nainstalovat. Komentátoři naznačují, že se záplata jednoduše nenahlásí, když se o to pokusíte z nezáplatovaného zařízení. Ale nezkoušeli jsme znovu zazáplatovat dříve záplatované zařízení, abychom zjistili, zda se tím získá možnost aktualizaci opětovně načíst.

Jednoduše řečeno:
Pokud jste si již stáhli macOS 13.4.1 (a) nebo iOS/iPadOS 16.5.1 (a), ponechte si aktualizaci, pokud se jí nutně nemusíte zbavit, protože vás chrání před zero-day bezpečnostní mezerou.
Pokud jste ji nainstalovali a opravdu ji potřebujete nebo chcete odstranit, podívejte se na naše pokyny výše. Ale předpokládejte, že ji později nebudete moci znovu nainstalovat, a proto se zařadíte do třetí kategorie níže.
Pokud ji ještě nemáte, sledujte vývoj. Předpokládáme, že záplata (a) bude rychle nahrazena záplatou (b), protože celá myšlenka těchto „aktualizací s písmenky“ spočívá v tom, že mají být rychlou reakcí. Jistě to ale ví jen Apple.
Naše obvyklé předchozí rady doplníme slovy: Neotálejte a aktualizujte, jakmile vám to Apple a vaše zařízení umožní.

Autor: Paul Ducklin, bezpečnostní expert ve společnosti Sophos

Původní oznámení Apple opravuje kritickou zranitelnost nultého dne

Právě vyšla druhá verze aplikace Apple Rapid Security Response, v rámci které mohou uživatelé nejnovějších verzí macOS, iOS a iPadOS získat nouzové záplaty. Jejich výhodou je, že Applu netrvá tak dlouho je vytvořit, otestovat a zveřejnit, jako u aktualizace plné verze softwaru, a dlouho netrvá ani jejich stažení, instalace a aktivace. Současně neprovádějí nevratné změny, které nelze vrátit zpět, pokud se něco pokazí.

Rychlost je klíčová
Poslední výše uvedený bod je překvapivě důležitý vzhledem k tomu, že společnost Apple uživatelům nedovoluje odinstalovat plné aktualizace systému pro jejich iPhony nebo iPady, a to ani v případě, že zjistí, že způsobují vážné potíže a přejí si, aby je vůbec nepoužili.

Je to proto, že Apple nechce, aby uživatelé mohli záměrně software na svých zařízeních downgradovat, aby znovu zavedli staré chyby, o kterých nyní ví, že je lze využít pro tzv. jailbreak, tedy „odemknutí“ zařízení, které dovolí zasahovat do souborového systému a instalovat různé aplikace, které nebyly schváleny vývojářskými podmínkami Apple, nebo instalaci alternativního operačního systému, a to i na zařízeních, která Apple sám již nepodporuje.

I když své digitální zařízení úplně vymažete a znovu nainstalujete od začátku přes kabel USB pomocí nástroje DFU (přímá aktualizace firmwaru), servery společnosti Apple vědí, jakou verzi jste používali před přeinstalací, a nedovolí vám aktivovat obraz starého firmwaru na zařízení, které již bylo dříve aktualizováno.

Cena za toto obchodní rozhodnutí společnosti Apple udržovat uživatele na jednosměrné cestě upgradů iPhonů a iPadů je taková, že jednoduše nemůže přispěchat s nouzovými upgrady tak rychle, jak by si jinak přála (nebo jak byste si přáli sami uživatelé). Je to proto, že jediný způsob, jak opravit kritické problémy, které by upgrade mohl způsobit, je vydat další kompletní upgrade, který jej nahradí, protože neexistuje žádný rychlý proces opravy stávajícího úplného upgradu, který byl sám vydán příliš rychle.

Účelem Rapid Security Response je tento problém obejít, přinejmenším pro určitou část softwaru v zařízení, zejména pro Safari a další komponenty webového prohlížeče, které jsou běžně zneužívány zločinci k útokům, jako je skrytá implementace spywaru nebo infikování sledovacím malwarem.

Jak bylo uvedeno výše, záplaty Rapid Security Response se mají rychle nainstalovat a v případě potíží je lze snadno odstranit. Podle vyjádření společnosti Apple jsou záplaty Rapid Security Response navrženy tak, aby „přinášely důležitá bezpečnostní vylepšení mezi aktualizacemi softwaru – například vylepšení webového prohlížeče Safari, frameworku WebKit nebo jiných kritických systémových knihoven. Mohou být také použity k rychlejší eliminaci některých bezpečnostních problémů, jako například těch, co už byly odhaleny a nahlášeny jako zneužitelné.“

Význam záplat prohlížeče
Samotné prohlížení stránek by mělo být poměrně málo rizikové, protože prohlížeč je naprogramován tak, aby uživatele chránil před bezprostředním nebezpečím. Z pohledu kybernetické bezpečnosti by totiž obsah prohlížeče neměl způsobit vůbec žádné nebo minimální softwarové potíže, pokud se pouze díváte na webové stránky.

Jistě, můžete být oklamáni falešným obsahem, ale to nebude mít přímý vliv na zabezpečení kódu běžícího v samotném zařízení. Můžete být podvedeni, abyste schválili nějakou rizikovou akci, například instalaci podvodné aplikace nebo vyplnění falešného přihlašovacího formuláře, ale obvykle máte alespoň nějakou šanci odhalit, že jste podváděni. Jednoduše řečeno, pokud jste na webu „jen na návštěvě“, nemělo by vám hrozit žádné riziko spojené s aktivitou při prohlížení.

Samozřejmě, že schopnost prohlížeče ochránit vás před zcela automatizovanými útoky a zajistit, aby obsah webové stránky sám o sobě nikdy nestačil k tomu, aby vás infikoval malwarem nebo ukradl data z vašeho zařízení, závisí na tom, zda prohlížeč neobsahuje bezpečnostní chyby, jejichž prostřednictvím by mohl nastražený obsah obejít vlastní bezpečnostní štíty prohlížeče a vystavit vás útoku, kterému se říká drive-by instalace nebo look-and-get-pwned.

Co je potřeba nyní udělat?
Nejnovější záplaty Rapid Security Response je třeba brát jako kritické. Vzhledem k opravené chybě předpokládáme, že souvisejí s živým útokem spywaru nebo malwaru, který právě probíhá:

Impact: Processing web content may lead
to arbitrary code execution.
Apple is aware of a report that
this issue may have been
actively exploited.

Description: The issue was addressed
with improved checks.

CVE-2023-37450: an anonymous researcher

V žargonu „aktivně zneužitý“ (actively exploited ) znamená, že se jedná se o zero-day zranitelnost, nebo ještě přímočařeji „útočníci na ni přišli jako první“, což nám říká, abychom aktualizaci neodkládali a prostě ji udělali ještě dnes.

V Rapid Security Response jsou k dispozici nejnovější verze systémů macOS Ventura 13.4.1, iOS 16.5.1 a iPadOS 16.5.1. Tyto verze se po instalaci rychlé záplaty budou zobrazovat jako 13.4.1 (a), resp. 16.5.1 (a), přičemž koncové písmeno (a) zmizí, pokud záplatu později odinstalujete.
Pro starší podporované verze macOS Big Sur a macOS Monterey existuje staronová aktualizace systému, která pouze opravuje Safari, které se po aktualizaci bude zobrazovat jako Safari 16.5.2.

Zatím však [2023-07-10 23:00:00Z] nejsou k dispozici žádné aktualizace pro další platformy Apple, i když je možné, že se problém týká i systému iOS 15, který je stále oficiálně podporován na starších iPhonech a iPadech, a také hodinek a televizorů Apple Watch.

Přejděte do Nastavení > Obecné > Aktualizace softwaru a zkontrolujte, zda jste již správně obdrželi a nainstalovali tuto nouzovou záplatu. Nezapomeňte, že na iPhonech a iPadech jsou všechny prohlížeče a aplikace, které mohou zobrazovat webový obsah (ať už jsou od Applu, Mozilly, Microsoftu, Googlu nebo jiného výrobce), nuceny používat na pozadí WebKit. Takže pouhá instalace alternativního prohlížeče a vyhýbání se po určitou dobu prohlížeči Safari, sama o sobě nestačí. Na starších počítačích Mac zkontrolujte, zda není k dispozici aktualizace Safari 16.5.2, a to pomocí nabídky O tomto počítači > Aktualizace softwaru…

Autor: Paul Ducklin, bezpečnostní expert ve společnosti Sophos