Kasutame Apple'i rakendust Mail terve päeva, iga päev töö ja isikliku meili haldamiseks, sealhulgas rohkelt väga teretulnud alasti turvalisuse kommentaare, küsimusi, artikliideid, kirjavigaaruandeid, taskuhäälingusoovitusi ja palju muud.
(Jätkake neid tulema – me saame palju positiivsemaid ja kasulikumaid sõnumeid kui trollid ning meile meeldib seda nii ka edaspidi hoida: tips@sophos.com kuidas meieni jõuda.)
Oleme alati leidnud, et rakendus Mail on väga kasulik tööhobune, mis sobib meile hästi: see pole eriti uhke; see ei ole täis funktsioone, mida me kunagi ei kasuta; see on visuaalselt lihtne; ja (seni igatahes) on see olnud kangekaelselt usaldusväärne.
Kuid rakenduse uusima versiooni valmistamisel pidi olema tõsine probleem, sest Apple lihtsalt välja surutud ühe veaga turvaparandus iOS 16 jaoks, mis võtab versiooninumbri iOS 16.0.3ja Maili spetsiifilise haavatavuse parandamine:
Loetletud on üks ja ainus viga:
Mõju. Pahatahtlikult koostatud meilisõnumi töötlemine võib viia teenuse keelamiseni. Kirjeldus: sisendi valideerimise probleem lahendati sisendi täiustatud valideerimisega. CVE-2022-22658
"Ühe vea" bülletäänid
Meie kogemuse kohaselt on Apple'i "ühe veaga" turbebülletäänid või vähemalt N-vea bülletäänid väikese N jaoks pigem erand kui reegel ja sageli näib, et need saabuvad siis, kui on olemas selge ja praegune oht, näiteks jailbreakable null. -day exploit või exploit jada.
Võib-olla oli kõige tuntum hiljutine seda tüüpi hädaolukorra värskendus a topelt nullpäeva parandus augustis 2022, mis parandas kahe barreliga rünnakut, mis koosnes WebKiti koodi kaugkäivitamise august (sissepääs), millele järgnes kohalik koodikäivitusauk tuumas endas (viis täielikuks ülevõtmiseks):
Need vead olid ametlikult loetletud mitte ainult kõrvalistele isikutele teadaolevatena, vaid ka aktiivse kuritarvitamisena, arvatavasti mingi pahavara implanteerimise tõttu, mis võiks jälgida kõike, mida te tegite, nagu kõigi teie andmete nuhkimine, salajaste ekraanipiltide tegemine, kuulamine. telefonikõnede tegemiseks ja kaameraga piltide jäädvustamiseks.
Umbes kaks nädalat hiljem libises Apple isegi välja ootamatu värskendus iOS 12 jaoks oli vana versioon, mida enamik meist arvas, et see on tegelikult "hülgav tarkvara", mis oli Apple'i ametlikest turvavärskendustest peaaegu aasta enne seda silmatorkavalt puudunud:
(Ilmselt mõjutas iOS 12 WebKiti viga, kuid mitte järgnev tuumaauk, mis muutis Apple'i uuemate toodete rünnakuahela palju hullemaks.)
Seekord pole aga mainitud, et viga on värskenduses parandatud iOS 16.0.3 sellest teatas keegi väljaspool Apple'i, vastasel juhul ootame bülletäänis nimetatud leidjat, isegi kui "anonüümne uurija".
Samuti pole vihjet sellele, et viga võiks olla ründajatele juba teada ja seetõttu kasutatakse seda juba pahandusteks või veel hullemaks...
…aga Apple näib siiski arvavat, et see on haavatavus, mille kohta tasub välja anda turvabülletään.
Teil on kiri, kiri, kiri…
Niinimetatud teenusest keeldumine (DoS) või crash-me-at-will vigu peetakse sageli haavatavuse stseeni kergeks osaks, sest üldiselt ei paku need ründajatele võimalust hankida andmeid, mida nad ei peaks nägema, või hankida juurdepääsuõigusi, mida neil ei tohiks olla, või pahatahtliku koodi käivitamiseks. omal valikul.
Kuid mis tahes DoS-i viga võib kiiresti muutuda tõsiseks probleemiks, eriti kui see juhtub ikka ja jälle, kui see esimest korda käivitatakse.
Selline olukord võib hõlpsasti tekkida sõnumsiderakendustes, kui lihtsalt ligipääsemine lõksus olevale sõnumile põhjustab rakenduse krahhi, sest tavaliselt peate tülika sõnumi kustutamiseks kasutama rakendust...
…ja kui krahh juhtub piisavalt kiiresti, ei jää teil kunagi piisavalt aega, et klõpsata prügikasti ikoonil või pühkida rikkuv sõnum, enne kui rakendus jookseb uuesti, uuesti ja uuesti.
Aastate jooksul on iPhone'i seda tüüpi surmateksti stsenaariumide kohta ilmunud arvukalt lugusid, sealhulgas:
Muidugi teine probleem sellega, mida me naljaga pooleks nimetame CRASH: GOTO CRASH Sõnumirakenduste vead seisnevad selles, et teised inimesed saavad valida, millal teile sõnumeid saata ja mida sõnumisse lisada ...
…ja isegi kui kasutate tundmatutelt või ebausaldusväärsetelt saatjatelt saabunud sõnumite blokeerimiseks rakenduses mingit automaatset filtreerimisreeglit, peab rakendus tavaliselt teie sõnumeid töötlema, et otsustada, millistest neist vabaneda.
(Pange tähele, et see veaaruanne viitab selgesõnaliselt krahhile, mille põhjuseks on "pahatahtlikult koostatud meilisõnumi töötlemine".)
Seetõttu võib rakendus niikuinii kokku jooksma ja iga kord taaskäivitamisel kokku jooksma, kui ta üritab käsitleda sõnumeid, millega eelmisel korral hakkama ei saanud.
Mida teha?
Olenemata sellest, kas teil on automaatsed värskendused sisse lülitatud või mitte, minge aadressile Seaded > Üldine > tarkvara uuendus paranduse kontrollimiseks (ja vajadusel installimiseks).
Versioon, mida soovite pärast värskendust näha, on iOS 16.0.3 või hiljem.
Arvestades, et Apple on ainuüksi selle ühe DoS-vea jaoks välja tõrjunud turvapaiga, arvame, et kui ründaja peaks selle välja mõtlema, võib kaalul olla midagi häirivat.
Näiteks võite saada vaevu kasutatava seadme, mille peate täielikult pühkima ja uuesti käivitama, et taastada selle töökorras olek...
LUGEGE LISATEAVE HAVATATAVATE KOHTADE KOHTA
Klõpsake ja lohistage allolevatel helilainetel mis tahes punkti hüppamiseks. Sa saad ka kuula otse Soundcloudis.
- õun
- blockchain
- coingenius
- avarii
- krüptovaluuta rahakotid
- krüptovahetus
- CVE-2022-22658
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- iOS
- Kaspersky
- malware
- mcafee
- Alasti turvalisus
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- haavatavus
- kodulehel turvalisus
- sephyrnet
