Χρησιμοποιούμε την εφαρμογή Mail της Apple όλη μέρα, καθημερινά για τη διαχείριση εργασιακών και προσωπικών μηνυμάτων ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένης μιας άφθονης προσφοράς πολύ ευπρόσδεκτων σχολίων, ερωτήσεων, ιδεών για άρθρα, αναφορών τυπογραφικών σφαλμάτων, προτάσεων podcast και πολλά άλλα.
(Συνεχίστε να έρχονται – λαμβάνουμε πολύ πιο θετικά και χρήσιμα μηνύματα από τα τρολ, και μας αρέσει να το κρατάμε έτσι: tips@sophos.com είναι ο τρόπος να επικοινωνήσετε μαζί μας.)
Πάντα θεωρούσαμε ότι η εφαρμογή Mail είναι ένα πολύ χρήσιμο εργαλείο που μας ταιριάζει πολύ: δεν είναι ιδιαίτερα φανταχτερό. Δεν είναι γεμάτο από χαρακτηριστικά που δεν χρησιμοποιούμε ποτέ. είναι οπτικά απλό. και (μέχρι στιγμής ούτως ή άλλως), ήταν επισταμένως αξιόπιστο.
Αλλά πρέπει να υπήρχε ένα σοβαρό πρόβλημα στην παρασκευή της τελευταίας έκδοσης της εφαρμογής, επειδή η Apple απλώς διωγμένος μια ενημερωμένη έκδοση κώδικα ασφαλείας με ένα σφάλμα για το iOS 16, μεταφέροντας τον αριθμό έκδοσης στο iOS 16.0.3και επιδιόρθωση μιας ευπάθειας ειδικά για το Mail:
Παρατίθεται ένα και μόνο σφάλμα:
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλα δημιουργημένου μηνύματος ηλεκτρονικού ταχυδρομείου μπορεί να οδηγήσει σε άρνηση παροχής υπηρεσίας Περιγραφή: Ένα ζήτημα επικύρωσης εισόδου αντιμετωπίστηκε με βελτιωμένη επικύρωση εισόδου. CVE-2022-22658
Ενημερωτικά δελτία με ένα σφάλμα
Σύμφωνα με την εμπειρία μας, τα ενημερωτικά δελτία ασφαλείας "one-bug" από την Apple, ή τουλάχιστον τα ενημερωτικά δελτία N-bug για τα μικρά N, αποτελούν την εξαίρεση και όχι τον κανόνα και συχνά φαίνεται να φτάνουν όταν υπάρχει ένας σαφής και παρών κίνδυνος, όπως ένα jailbreakable zero -day exploit ή exploit sequence.
Ίσως η πιο γνωστή πρόσφατη ενημέρωση έκτακτης ανάγκης αυτού του είδους ήταν α Διόρθωση διπλής μηδενικής ημέρας τον Αύγουστο του 2022 που επιδιορθώθηκε ενάντια σε μια επίθεση με δύο κάννες που αποτελούνταν από μια απομακρυσμένη οπή εκτέλεσης κώδικα στο WebKit (ένα τρόπο εισόδου) ακολουθούμενη από μια τρύπα εκτέλεσης τοπικού κώδικα στον ίδιο τον πυρήνα (ένας τρόπος για πλήρη ανάληψη):
Αυτά τα σφάλματα καταγράφηκαν επίσημα όχι μόνο ως γνωστά σε ξένους, αλλά και ως υπό ενεργή κατάχρηση, πιθανώς για την εμφύτευση κάποιου είδους κακόβουλου λογισμικού που θα μπορούσε να παρακολουθεί οτιδήποτε κάνατε, όπως κατασκοπεία όλων των δεδομένων σας, λήψη μυστικών στιγμιότυπων οθόνης, ακρόαση για τηλεφωνικές κλήσεις και λήψη εικόνων με την κάμερά σας.
Περίπου δύο εβδομάδες αργότερα, η Apple διέλυσε ακόμη και ένα απροσδόκητη ενημέρωση για το iOS 12, μια παλιά έκδοση που οι περισσότεροι από εμάς υποθέταμε ότι ήταν ουσιαστικά «εγκατάλειψη λογισμικού», αφού απουσίαζε εμφανώς από τις επίσημες ενημερώσεις ασφαλείας της Apple για σχεδόν ένα χρόνο πριν από αυτό:
(Προφανώς, το iOS 12 επηρεάστηκε από το σφάλμα WebKit, αλλά όχι από την επόμενη τρύπα του πυρήνα που έκανε την αλυσίδα επίθεσης πολύ χειρότερη σε πιο πρόσφατα προϊόντα της Apple.)
Αυτή τη φορά, ωστόσο, δεν υπάρχει καμία αναφορά ότι το σφάλμα διορθώθηκε στην ενημέρωση του iOS 16.0.3 αναφέρθηκε από οποιονδήποτε εκτός της Apple, διαφορετικά θα περιμέναμε να δούμε τον ανιχνευτή να κατονομάζεται στο δελτίο, ακόμη και μόνο ως «Ένας ανώνυμος ερευνητής».
Δεν υπάρχει επίσης καμία ένδειξη ότι το σφάλμα μπορεί να είναι ήδη γνωστό στους επιτιθέμενους και ως εκ τούτου να χρησιμοποιείται ήδη για κακό ή χειρότερο…
…αλλά η Apple φαίνεται ωστόσο να πιστεύει ότι είναι μια ευπάθεια για την οποία αξίζει να εκδοθεί ένα ενημερωτικό δελτίο ασφαλείας.
Έχετε αλληλογραφία, πήρατε ταχυδρομείο, έχετε αλληλογραφία…
Τα λεγόμενα άρνηση παροχής υπηρεσιών (DoS) ή συντριβή-με-κατά βούληση Τα σφάλματα θεωρούνται συχνά ως τα ελαφριά σημεία της σκηνής ευπάθειας, επειδή γενικά δεν παρέχουν στους εισβολείς μια διαδρομή για να ανακτήσουν δεδομένα που δεν έπρεπε να δουν ή να αποκτήσουν δικαιώματα πρόσβασης που δεν θα έπρεπε να έχουν ή να εκτελέσουν κακόβουλο κώδικα της επιλογής τους.
Ωστόσο, οποιοδήποτε σφάλμα DoS μπορεί γρήγορα να μετατραπεί σε σοβαρό πρόβλημα, ειδικά αν συνεχίζει να συμβαίνει ξανά και ξανά μόλις ενεργοποιηθεί για πρώτη φορά.
Αυτή η κατάσταση μπορεί εύκολα να προκύψει σε εφαρμογές ανταλλαγής μηνυμάτων, εάν απλά η πρόσβαση σε ένα μήνυμα που έχει παγιδευτεί με παγιδευμένο μήνυμα διακόπτει την εφαρμογή, επειδή συνήθως πρέπει να χρησιμοποιήσετε την εφαρμογή για να διαγράψετε το ενοχλητικό μήνυμα…
…και αν η συντριβή συμβεί αρκετά γρήγορα, δεν θα έχετε ποτέ αρκετό χρόνο για να κάνετε κλικ στο εικονίδιο του κάδου απορριμμάτων ή για να σύρετε-διαγράψετε το προσβλητικό μήνυμα προτού η εφαρμογή διακοπεί ξανά και ξανά και ξανά.
Πολυάριθμες ιστορίες έχουν εμφανιστεί όλα αυτά τα χρόνια σχετικά με σενάρια «κείμενο θανάτου» αυτού του είδους για το iPhone, όπως:
Φυσικά, το άλλο πρόβλημα με αυτό που χαριτολογώντας αναφερόμαστε ως CRASH: GOTO CRASH σφάλματα στις εφαρμογές ανταλλαγής μηνυμάτων είναι ότι τα άλλα άτομα μπορούν να επιλέξουν πότε θα σας στείλουν μήνυμα και τι θα βάλουν στο μήνυμα…
…και ακόμα κι αν χρησιμοποιείτε κάποιο είδος αυτοματοποιημένου κανόνα φιλτραρίσματος στην εφαρμογή για να αποκλείσετε μηνύματα από άγνωστους ή μη αξιόπιστους αποστολείς, η εφαρμογή θα πρέπει συνήθως να επεξεργαστεί τα μηνύματά σας για να αποφασίσει ποια θα απαλλαγεί.
(Σημειώστε ότι αυτή η αναφορά σφάλματος αναφέρεται ρητά σε σφάλμα λόγω "επεξεργασία ενός κακόβουλου μηνύματος ηλεκτρονικού ταχυδρομείου".)
Επομένως, η εφαρμογή μπορεί να διακοπεί ούτως ή άλλως και μπορεί να συνεχίσει να κολλάει κάθε φορά που επανεκκινείται καθώς προσπαθεί να χειριστεί τα μηνύματα που δεν κατάφερε να αντιμετωπίσει την τελευταία φορά.
Τι να κάνω;
Είτε έχετε ενεργοποιήσει τις αυτόματες ενημερώσεις είτε όχι, μεταβείτε στο ρυθμίσεις > General > Ενημέρωση λογισμικού για να ελέγξετε για (και, εάν χρειάζεται, να εγκαταστήσετε) την επιδιόρθωση.
Η έκδοση που θέλετε να δείτε μετά την ενημέρωση είναι iOS 16.0.3 ή αργότερα.
Δεδομένου ότι η Apple έχει εκδώσει μια ενημερωμένη έκδοση κώδικα ασφαλείας μόνο για αυτό το σφάλμα DoS, υποθέτουμε ότι κάτι ενοχλητικό θα μπορούσε να διακυβευθεί εάν κάποιος εισβολέας το καταλάβαινε αυτό.
Για παράδειγμα, θα μπορούσατε να καταλήξετε με μια μόλις χρησιμοποιήσιμη συσκευή που θα χρειαστεί να σκουπίσετε εντελώς και να την επαναφέρετε για να την επαναφέρετε σε υγιή λειτουργία…
ΜΑΘΕΤΕ ΠΕΡΙΣΣΟΤΕΡΑ ΓΙΑ ΤΙΣ ΕΥΡΩΤΕΣ ΣΗΜΕΙΕΣ
Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.
- Apple
- blockchain
- Coingenius
- συντριβή θανάτου
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- CVE-2022-22658
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- iOS
- Kaspersky
- malware
- Mcafee
- Γυμνή ασφάλεια
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ευπάθεια
- ιστοσελίδα της ασφάλειας
- zephyrnet
![S3 Ep123: Crypto company compromise kerfuffle [Ήχος + Κείμενο]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-360x188.png)