Zakrpite svoje Mac računare, ljude i svoje Apple satove i starije telefone iPhone, iPad i iPod Touch.
Apple je jučer (26. rujna) objavio hitno ažuriranje za Mac računale kako bi otklonio propust koji bi "udaljenom napadaču … uzrokovao neočekivano ukidanje aplikacije ili proizvoljno izvršavanje koda".
Jednostavno rečeno, to znači da je haker mogao pristupiti vašem Macu s interneta i pokrenuti zlonamjerni kôd ili isključiti legitimne aplikacije. Ne treba reći da je to jako loše.
Jučer su također izdane zakrpe za watchOS (5.3.2) i iOS 12 (12.4.2) kako bi se popravio isti nedostatak. Novi iPhone, iPad i iPod dobili su rješenje prošlog tjedna izdavanjem iOS 13, ali mnogi stariji iOS uređaji, poput iPhonea 5s, 6 i 6 Plus, moraju se držati iOS 12.
Mac zakrpe su za posljednje tri verzije macOS -a - 10.14 Mojave, 10.13 High Sierra i 10.12 Sierra - ali nećete dobiti novi broj verzije za svoju verziju. Vjerojatno su pogođene i starije, nepodržane verzije macOS -a/OS X. (Ako još uvijek koristite jedan od njih, vrijeme je za ažuriranje.)
Raščišćavanje misterije
Apple ne govori mnogo više o nedostatku, osim što uključuje "čitanje izvan granica [koje je] riješeno poboljšanom provjerom unosa", otkrili su istraživači Google Project Zero Samuel Groß i Natalie Silvanovich, a dodijeljen broj zajedničke ranjivosti i izloženosti (CVE) CVE-2019-8641.
No, pokazalo se da ranjivost traje nekoliko mjeseci i da je ostala neriješena dugo nakon što je popravljen sličan niz nedostataka.
Jutros (27. rujna), Sophosov Paul Ducklin spojio je točke i zaključio da je ovo posljednji od nekoliko uglavnom iOS nedostataka koje su Groß i Silvanovich otkrili tijekom ljeta, i jedini od tih nedostataka koji su ostali nerazjašnjeni i neispravljeni skoro dva mjeseca.
Možda se sjećate da je krajem srpnja otkriven niz nedostataka Appleovih poruka, koje je Apple uglavnom otklonio iOS -om 12.4. Neki od nedostataka dopustili bi hakerima da preuzmu iPhone jednostavno slanjem posebno izrađene poruke.
Kao i standardni postupak, istraživači projekta Zero objasnili su kako su bugovi radili nakon što je Apple izdao iOS 12.4. No, zadržali su informacije o jednom nedostatku jer su smatrali da ih iOS 12.4 nije u potpunosti popravio.
"Zadržavamo CVE-2019-8641 do isteka roka jer popravak u upozorenju nije riješio ranjivost", napisao je Silvanovich na Twitteru 29. srpnja.
Tajanstvena greška ostala je neotkrivena još dva mjeseca, čak i kad su Silvanovich i Groß proveli svoje istraživanje na putu i iznijeli svoja otkrića na sigurnosnoj konferenciji Black Hat u kolovozu, a Apple je nadogradio iOS na verziju 12.4.1 i objavio "dopunu" ažuriranje na macOS Mojave 10.14.6.
Konačno, potpuno razotkrivanje
Sad kad je sve doista popravljeno, mačka je izašla iz vreće. Silvanovich je u ponedjeljak (23. rujna), nakon objavljivanja iOS-a 13, u tišini javno objavio detalje CVE-2019-8641 u objavi na blogu Project Zero.
Njezino objašnjenje ranjivosti izvan je razumijevanja za svakoga tko nije dobro upućen u unutarnji rad iOS -a, ali je napomenula da "ovo pitanje još nije riješeno za Mac i iPad, već je sada samo lokalna ranjivost zbog promjene u 12.4. .1. "
Vjerojatno su se te lokalne ranjivosti riješile ažuriranjem za iOS 12.4.2 i zakrpama za macOS.
Kredit za sliku: blackzheep/Shutterstock