szukaj

24.01.2018 | 11:35

avatar

Adam Haertle

Posiadacze urządzeń Apple, dzisiaj jest dzień wielkiej aktualizacji

Jeśli jesteście użytkownikami urządzeń z jabłuszkiem, to nie zwlekajcie i grzecznie aktualizujcie ich oprogramowanie do najnowszych dostępnych wersji, bo błędy łatane w tej edycji wyglądają naprawdę poważnie.

Nie mamy zwyczaju informować Was o każdej paczce aktualizacji dla Windowsa czy systemów Apple, ale czasem lista naprawianych błędów faktycznie robi wrażenie – i tak jest także tym razem. Co prawda Apple na razie bardzo lakonicznie opisuje problemy, które usuwa, ale nawet ten lakoniczny opis sugeruje, by pospieszyć się z aktualizacjami.

Co w Apple piszczy

Zacznijmy od niepozornego numerka, jakim jest CVE-2018-4082. To numer błędu, odkrytego przez Russa Coxa z Google. Błąd ten pozwala zwykłej aplikacji na uzyskanie dostępu na poziomie jądra systemu – czyli każda aplikacja, która go wykorzysta, może przejąć pełną kontrolę nad urządzeniem. Co więcej, błąd ten występuje w:

  • macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
  • iPhone 5s i wszystkich późniejszych, iPad Air i wszystkich późniejszych, iPod touch szóstej generacji
  • wszystkich wersjach watchOS

Krótko mówiąc – podatne są wszystkie popularne urządzenia Apple wyprodukowane w ciągu ostatnich kilku lat. Spodziewamy się bardzo ciekawego opisu podatności jak tylko Google będzie mogło już ujawnić jej szczegóły.

Inne ważne aktualizacje

Jeśli z jakiegoś (mamy nadzieję, że ważnego) powodu korzystacie nadal z systemów macOS Sierra 10.12.6 lub OS X El Capitan 10.11.6, to Apple przygotowało dla Was aktualizacje na problemy Spectre i Meltdown. Skorzystajcie i zaktualizujcie. Innym ciekawym błędem jest CVE-2018-4094, odkryty przez naukowców z koreańskiego uniwersytetu w usłudze audio. Opis błędu mówi, że odtworzenie złośliwego pliku dźwiękowego może prowadzić do wykonania nieautoryzowanego kodu. Brzmi poważnie, a do tego zakres podatnych urządzeń jest podobny do wcześniejszego błędu – problem z audio występuje we wszystkich iPhone’ach od 5S, wszystkich iPadach od Air oraz w macOS High Sierra 10.13.2 i macOS Sierra 10.12.6. Dodatkowo w iPhone’ach i iPadach występuje problem z obsługą Bluetootha, pozwalający aplikacji uzyskać uprawnienia systemowe (CVE-2018-4087 i CVE-2018-4095). Jeśli dodacie do tego sporo błędów w Safari i innych produktach Apple, to chyba nie musimy już Was namawiać do kliknięcia opcji „aktualizuj teraz”. Najnowsze wersje których instalację rekomendujemy to  iOS 11.2.5 oraz macOS High Sierra 10.13.3.

Powrót

Komentarze

  • avatar
    2018.01.24 11:43 Filą

    No takiej listy podatności w jednej aktualizacji jeszcze nie widziałem. Jak 2017 był rokiem botnetów na IoT i ransomware’ów tak wszystko wskazuje na to, że ten będzie rokiem dziur we wszystkim.

    Odpowiedz
    • avatar
      2018.01.24 12:03 Krzysiek

      Przeważnie lista była dłuższa: https://support.apple.com/en-us/HT201222

      Odpowiedz
    • avatar
      2018.01.24 12:58 100% Arki we Wrzeszczu

      Presja managementu na software developerach powoduje, ze wszystko jest robione na odpierdol byleby dzialalo. I tylko IT chce te rozwiazania trzymac z dala od swojej sieci.

      Odpowiedz
      • avatar
        2018.01.25 20:12 acaria

        Z drugiej strony umiejętności programistyczne, jakość tworzonego kodu i podejście od pracy też pozostawiają dużo do życzenia. To są obszary, które wzajemnie się nakładają (presja plus kompetencje). Secure SDLC było i zapewne będzie problemem, zatem kluczowe jest by reakcja była jak najbardziej właściwa. Trudno oczekiwać od ludzi by się nie mylili, ważne by szybko i dobrze wyciągali wnioski z błędów…

        Odpowiedz
  • avatar
    2018.01.24 14:39 xbartx

    Mam iphone SE na sofcie 10.x i jakoś daje radę i chyba jeszcze dam. Sporadycznie używam Safari (raz na miesiąc?) i w zasadzie prócz dzwonienia, aparatu to z aplikacji używam: spotify, instagram (rzadko) i jako nowoczesny sms whatsup. Dopóki nie poprawią 11.x na tyle żeby bateria działała tak długo jak na 10.x to nie aktualizuje, bo w moim przypadku nie ma to większego sensu.

    Odpowiedz
  • avatar
    2018.01.25 01:35 krzyszp

    „Opis błędu mówi, że odtworzenie złośliwego pliku dźwiękowego może prowadzić do wykonania nieautoryzowanego kodu.”

    No bez jaj… Jak system może pozwolić na wykonanie jako wykonywalnego pliku z muzyką???

    Odpowiedz
    • avatar
      2018.01.25 10:04 Duck

      To nie pierwszy taki błąd i to nie tylko na tej platformie :)

      Odpowiedz
    • avatar
      2018.01.25 11:58 MG

      Żartujesz, czy chodzi Ci o to, że każdy strumień wejściowy powinien być domyślnie w regionie pamięci z execution protection? Jeśli to drugie to nie jest takie łatwe w praktyce, a pointer authentication jest dopiero od ARMv8. Przepełnienia buforów prowadzące do wywołania kodu to temat znany od lat siedemdziesiątych.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Posiadacze urządzeń Apple, dzisiaj jest dzień wielkiej aktualizacji

Komentarze