Vi bruker Apples Mail-app hele dagen, hver dag for å håndtere jobb og personlig e-post, inkludert en rikelig tilførsel av svært velkomne Naked Security-kommentarer, spørsmål, artikkelideer, skrivefeilrapporter, podcastforslag og mye mer.
(Fortsett med å komme – vi får langt mer positive og nyttige meldinger om at vi får troll, og vi elsker å holde det slik: tips@sophos.com er hvordan du kan nå oss.)
Vi har alltid syntes at Mail-appen er en veldig nyttig arbeidshest som passer oss godt: den er ikke spesielt fancy; den er ikke full av funksjoner vi aldri bruker; det er visuelt enkelt; og (så langt i alle fall), den har vært hardnakket pålitelig.
Men det må ha vært et alvorlig problem under oppsving i den nyeste versjonen av appen, fordi Apple nettopp dyttet ut en sikkerhetsoppdatering med én feil for iOS 16, som tar versjonsnummeret til iOS 16.0.3, og fikse en sårbarhet som er spesifikk for Mail:
Én og bare én feil er oppført:
Virkning: Behandling av en ondsinnet e-postmelding kan føre til tjenestenekt Beskrivelse: Et problem med inndatavalidering ble løst med forbedret inputvalidering. CVE-2022-22658
"One-bug" bulletiner
Vår erfaring er at "én-feil"-sikkerhetsbulletiner fra Apple, eller i det minste N-bug-bulletiner for liten N, er unntaket snarere enn regelen, og ser ofte ut til å komme når det er en klar og tilstedeværende fare, for eksempel et jailbreakable null -dagers utnyttelse eller utnyttelsessekvens.
Den kanskje mest kjente nylige nødoppdateringen av denne typen var en dobbel null-dagers løsning i august 2022 som lappet mot et to-løps angrep bestående av et eksternt kodeutførelseshull i WebKit (en vei inn) etterfulgt av et lokalt kodeutførelseshull i selve kjernen (en måte å ta over fullstendig):
Disse feilene ble offisielt oppført ikke bare som kjent for utenforstående, men også som under aktivt misbruk, antagelig for å ha implantert en slags skadelig programvare som kunne holde oversikt over alt du gjorde, for eksempel å snoke på alle dataene dine, ta hemmelige skjermbilder, lytte inn til telefonsamtaler og ta bilder med kameraet.
Omtrent to uker senere slapp Apple til og med ut en uventet oppdatering for iOS 12, en gammel versjon som de fleste av oss antok var faktisk "abandonware", etter å ha vært påfallende fraværende fra Apples offisielle sikkerhetsoppdateringer i nesten et år før det:
(Tilsynelatende ble iOS 12 påvirket av WebKit-feilen, men ikke av følgekjernehullet som gjorde angrepskjeden mye verre på nyere Apple-produkter.)
Denne gangen nevnes det imidlertid ikke at feilen lappet i oppdateringen til iOS 16.0.3 ble rapportert av noen utenfor Apple, ellers ville vi forvente å se finneren som er navngitt i bulletinen, selv om bare som "en anonym forsker".
Det er heller ingen antydning om at feilen allerede kan være kjent for angripere og derfor allerede brukes til ugagn eller verre ...
...men Apple ser likevel ut til å mene at det er en sårbarhet det er verdt å utstede en sikkerhetsbulletin om.
Du har post, fått post, fått post...
Såkalte tjenestenekt (DoS) eller krasje-meg-etter ønske bugs blir ofte sett på som lettvektene i sårbarhetsscenen, fordi de vanligvis ikke gir en vei for angripere til å hente data de ikke skal se, eller for å få tilgangsrettigheter de ikke burde ha, eller for å kjøre ondsinnet kode etter eget valg.
Men enhver DoS-feil kan raskt bli et alvorlig problem, spesielt hvis den fortsetter å skje om og om igjen når den utløses for første gang.
Den situasjonen kan lett oppstå i meldingsapper hvis bare tilgang til en booby-fanget melding krasjer appen, fordi du vanligvis trenger å bruke appen for å slette den plagsomme meldingen ...
…og hvis krasjet skjer raskt nok, får du aldri nok tid til å klikke på søppelbøtteikonet eller til å sveipe-slette den fornærmende meldingen før appen krasjer igjen, og igjen, og igjen.
Tallrike historier har dukket opp gjennom årene om iPhone "tekst-til-død"-scenarier av denne typen, inkludert:
Selvfølgelig, det andre problemet med det vi spøkefullt refererer til som CRASH: GOTO CRASH feil i meldingsapper er at andre kan velge når de skal sende meldinger til deg og hva de skal legge inn i meldingen...
…og selv om du bruker en slags automatisert filtreringsregel i appen for å blokkere meldinger fra ukjente eller ikke-klarerte avsendere, vil appen vanligvis trenge å behandle meldingene dine for å bestemme hvilke du skal bli kvitt.
(Merk at denne feilrapporten eksplisitt refererer til en krasj på grunn av "behandler en ondsinnet e-postmelding".)
Derfor kan appen krasje uansett, og kan fortsette å krasje hver gang den starter på nytt når den prøver å håndtere meldingene den ikke klarte å håndtere forrige gang.
Hva gjør jeg?
Enten du har automatiske oppdateringer slått på eller ikke, gå til innstillinger > general > programvare~~POS=TRUNC for å se etter (og om nødvendig installere) rettelsen.
Versjonen du vil se etter oppdateringen er iOS 16.0.3 eller senere.
Gitt at Apple har presset ut en sikkerhetsoppdatering for denne ene DoS-feilen alene, tipper vi at noe forstyrrende kan være på spill hvis en angriper skulle finne ut av dette.
For eksempel kan du ende opp med en knapt brukbar enhet som du trenger å tørke helt av og gjenopprette for å gjenopprette den til sunn drift ...
LÆR MER OM SÅRBARHETER
Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.
- eple
- blockchain
- coingenius
- dødsfall
- cryptocurrency lommebøker
- kryptoverveksling
- CVE-2022-22658
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- iOS
- Kaspersky
- malware
- Mcafee
- Naken sikkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- VPN
- sårbarhet
- nettside sikkerhet
- zephyrnet
