Patch dine Mac'er, mennesker og dine Apple -ure og ældre iPhones, iPads og iPod Touches.
Apple offentliggjorde i går (26. september) en nødopdatering til Mac'er for at rette op på en fejl, der ville lade en "fjernangriber … forårsage uventet applikationsafslutning eller vilkårlig kodeudførelse."
På almindeligt engelsk betyder det, at en hacker kunne få adgang til din Mac fra internettet og køre ondsindet kode eller lukke legitime programmer ned. Det er overflødigt at sige, at det er meget dårligt.
Patches blev også udstedt i går for watchOS (5.3.2) og iOS 12 (12.4.2) for at rette den samme fejl. Nye iPhones, iPads og iPods fik rettelsen i sidste uge med udgivelsen af iOS 13, men mange ældre iOS -enheder, såsom iPhone 5s, 6 og 6 Plus, skal holde sig til iOS 12.
Mac -patches er til de sidste tre versioner af macOS - 10.14 Mojave, 10.13 High Sierra og 10.12 Sierra - men du får ikke et nyt versionsnummer til din build. Ældre, ikke -understøttede versioner af macOS/OS X påvirkes sandsynligvis også. (Hvis du stadig kører en af dem, er det tid til at opdatere.)
Opklaring af et mysterium
Apple siger ikke meget mere om fejlen, bortset fra at det indebærer "en out-of-bounds læsning [der] blev adresseret med forbedret inputvalidering", blev opdaget af Google Project Zero-forskere Samuel Groß og Natalie Silvanovich, og blev tildelt nummeret Common Sårbarhed og eksponeringer (CVE) CVE-2019-8641.
Men det viser sig, at sårbarheden går flere måneder tilbage og blev efterladt uløst længe efter, at en lignende fejl var rettet.
I morges (27. september) forbandt Sophos 'Paul Ducklin prikkerne og fandt ud af, at dette er den sidste af flere hovedsageligt iOS -fejl, som Groß og Silvanovich afslørede i løbet af sommeren, og den eneste af disse fejl, der skulle forblive uforklarlige og upatchede for næsten to måneder.
Du husker måske, at der var afsløret en række fejl i Apple Messages i slutningen af juli, som Apple mest afhjælpede med iOS 12.4. Nogle af fejlene ville have ladet hackere overtage iPhones simpelthen ved at sende en specielt udformet besked.
Som standardproceduren forklarede Project Zero -forskerne nøjagtigt, hvordan fejlene fungerede, efter at Apple udstedte iOS 12.4. Men de holdt oplysninger om en fejl tilbage, fordi de følte, at iOS 12.4 ikke fuldstændigt fikset det.
"Vi tilbageholder CVE-2019-8641 indtil dets deadline, fordi rettelsen i rådgivningen ikke løste sårbarheden," skrev Silvanovich på Twitter 29.
Mysteriefejlen forblev afsløret i yderligere to måneder, selvom Silvanovich og Groß tog deres research på vejen og præsenterede deres resultater på Black Hat -sikkerhedskonferencen i august, og da Apple opdaterede iOS til version 12.4.1 og udgav et "supplerende" opdatering til macOS Mojave 10.14.6.
Endelig fuld oplysning
Nu hvor alt virkelig er ordnet, er katten ude af posen. Silvanovich offentliggjorde stille og roligt detaljerne i CVE-2019-8641 mandag (23. september), efter udgivelsen af iOS 13, i et Project Zero-blogindlæg.
Hendes forklaring på sårbarheden er uforståelig for alle, der ikke er velbevandret i iOS 'interne arbejde, men hun bemærkede, at "dette problem endnu ikke er løst til Mac og iPad, men nu kun er en lokal sårbarhed på grund af ændringen i 12.4 .1. "
Disse lokale sårbarheder er formodentlig nu blevet behandlet med iOS 12.4.2 -opdateringen og macOS -patches.
Billedkredit: blackzheep/Shutterstock