Gizemli iPhone güncelleme yamaları iOS 16 posta kilitlenme saldırısına karşı

Apple'ın Mail uygulamasını tüm gün, her gün iş ve kişisel e-postaları yönetmek için kullanıyoruz, buna çok sayıda çok hoş geldiniz Naked Security yorumları, soruları, makale fikirleri, yazım hatası raporları, podcast önerileri ve çok daha fazlası dahil.

(Devam edin – troller aldığımıza dair çok daha olumlu ve faydalı mesajlar alıyoruz ve bunu böyle tutmayı seviyoruz: tips@sophos.com bize nasıl ulaşacağınızdır.)

Mail uygulamasını her zaman bize çok yakışan çok kullanışlı bir iş gücü olarak gördük: özellikle süslü değil; hiç kullanmadığımız özelliklerle dolu değil; görsel olarak basittir; ve (şimdiye kadar) inatla güvenilir oldu.

Ancak uygulamanın en son sürümünde ciddi bir sorun ortaya çıkmış olmalı, çünkü Apple itti sürüm numarasını alarak iOS 16 için tek hata güvenlik düzeltme eki iOS 16.0.3ve Mail'e özgü bir güvenlik açığını düzeltme:

Bir ve yalnızca bir hata listelenir:

Etki: Kötü amaçlarla oluşturulmuş bir e-posta iletisinin işlenmesi hizmet reddine neden olabilir Açıklama: Giriş doğrulaması iyileştirilerek bir giriş doğrulama sorunu giderildi. CVE-2022-22658

"Tek hata" bültenleri

Deneyimlerimize göre, Apple'ın "tek hata" güvenlik bültenleri veya en azından küçük N için N-hata bültenleri kuraldan ziyade istisnadır ve genellikle jailbreak yapılabilir sıfır gibi açık ve mevcut bir tehlike olduğunda ortaya çıkar. -gün istismar veya istismar dizisi.

Belki de bu türden en iyi bilinen son acil durum güncellemesi, çift ​​sıfır gün düzeltmesi Ağustos 2022'de, WebKit'te bir uzaktan kod yürütme deliğinden (bir giriş yolu) ve ardından çekirdeğin kendisinde bir yerel kod yürütme boşluğundan (tamamen devralmanın bir yolu) oluşan iki namlulu bir saldırıya karşı yama yapıldı:

Bu hatalar resmi olarak yalnızca yabancılar tarafından bilinen olarak değil, aynı zamanda aktif kötüye kullanım altında olarak, muhtemelen tüm verilerinizi gözetlemek, gizli ekran görüntüleri almak, dinlemek gibi yaptığınız her şeyi sekmelerde tutabilecek bir tür kötü amaçlı yazılım yerleştirmek için listelendi. telefon görüşmeleri ve kameranızla görüntü yakalama.

Yaklaşık iki hafta sonra, Apple bir beklenmedik güncelleme iOS 12 için, çoğumuzun etkin bir şekilde "yazılımdan vazgeçme" olduğunu varsaydığımız eski bir sürüm, bundan yaklaşık bir yıl önce Apple'ın resmi güvenlik güncellemelerinde bariz bir şekilde yoktu:

(Görünüşe göre iOS 12, WebKit hatasından etkilendi, ancak daha yeni Apple ürünlerinde saldırı zincirini daha da kötüleştiren takip eden çekirdek deliğinden etkilenmedi.)

Ancak bu sefer, güncellemede yamalanan hatanın iOS 16.0.3 Apple dışındaki herhangi biri tarafından rapor edildi, aksi takdirde bültende adı geçen bulucuyu görmeyi beklerdik. "anonim bir araştırmacı".

Ayrıca, hatanın saldırganlar tarafından zaten biliniyor olabileceğine ve bu nedenle zaten yaramazlık veya daha kötüsü için kullanılıyor olabileceğine dair bir öneri de yok…

…ama yine de Apple, bunun hakkında bir güvenlik bülteni yayınlamaya değer bir güvenlik açığı olduğunu düşünüyor.

Postanız var, postanız var, postanız var…

Sözde reddi hizmet (DoS) veya beni kırmak Hatalar genellikle güvenlik açığı sahnesinin hafif unsurları olarak kabul edilir, çünkü genellikle saldırganların görmemeleri gereken verileri almaları veya sahip olmamaları gereken erişim ayrıcalıklarını elde etmeleri veya kötü niyetli kod çalıştırmaları için bir yol sağlamazlar. kendi seçtikleri.

Ancak herhangi bir DoS hatası, özellikle ilk kez tetiklendikten sonra tekrar tekrar olmaya devam ederse, hızla ciddi bir soruna dönüşebilir.

Bu durum, yalnızca bubi tuzaklı bir mesaja erişmek uygulamanın çökmesine neden olursa, mesajlaşma uygulamalarında kolayca ortaya çıkabilir, çünkü genellikle zahmetli mesajı silmek için uygulamayı kullanmanız gerekir…

…ve çökme yeterince hızlı olursa, uygulama tekrar ve tekrar çökmeden önce çöp kutusu simgesine tıklamak veya rahatsız edici mesajı hızlıca silmek için asla yeterli zamanınız olmaz.

Yıllar boyunca, iPhone'un bu tür "ölüm metni" senaryoları hakkında aşağıdakiler de dahil olmak üzere çok sayıda hikaye ortaya çıktı:

Tabii ki, şaka yollu olarak adlandırdığımız şeyle ilgili diğer sorun CRASH: GOTO CRASH Mesajlaşma uygulamalarındaki hatalar, diğer insanların size ne zaman mesaj göndereceklerini ve mesaja ne koyacaklarını seçmeleridir…

…ve bilinmeyen veya güvenilmeyen göndericilerden gelen mesajları engellemek için uygulamada bir tür otomatik filtreleme kuralı kullansanız bile, uygulamanın hangilerinden kurtulacağına karar vermek için genellikle mesajlarınızı işlemesi gerekir.

(Bu hata raporunun açıkça aşağıdakilerden kaynaklanan bir çökmeye atıfta bulunduğunu unutmayın: "kötü amaçlarla oluşturulmuş bir e-posta iletisini işleme".)

Bu nedenle uygulama yine de çökebilir ve geçen sefer başa çıkamadığı mesajları işlemeye çalışırken her yeniden başlatıldığında çökmeye devam edebilir.

Ne yapalım?

Otomatik güncellemeleri açsanız da açmasanız da şuraya gidin: Ayarlar > genel > düzeltmeyi kontrol etmek (ve gerekirse yüklemek) için.

Güncellemeden sonra görmek istediğiniz sürüm iOS 16.0.3 veya sonrası.

Apple'ın yalnızca bu DoS hatası için bir güvenlik düzeltme eki çıkardığı göz önüne alındığında, bir saldırganın bunu çözmesi durumunda yıkıcı bir şeyin tehlikede olabileceğini tahmin ediyoruz.

Örneğin, sağlıklı çalışmasına geri döndürmek için tamamen silmeniz ve yeniden başlatmanız gereken zar zor kullanılabilir bir cihaza sahip olabilirsiniz…

---

KESİNLİKLER HAKKINDA DAHA FAZLA BİLGİ

---