Mac'lerinizi, kişilerinizi ve Apple Saatlerinizi ve eski iPhone'larınızı, iPad'lerinizi ve iPod Touch'larınızı yamalayın.
Apple dün (26 Eylül), Mac'ler için "uzaktaki bir saldırganın… beklenmedik uygulama sonlandırmasına veya rastgele kod yürütülmesine neden olmasına" izin verecek bir kusuru düzeltmek için bir acil durum güncellemesi yayınladı.
Basit İngilizce'de bu, bir bilgisayar korsanının internetten Mac'inize erişebileceği ve kötü amaçlı kod çalıştırabileceği veya yasal uygulamaları kapatabileceği anlamına gelir. Söylemeye gerek yok, bu Çok Kötü.
Aynı kusuru düzeltmek için dün watchOS (5.3.2) ve iOS 12 (12.4.2) için yamalar da yayınlandı. Yeni iPhone'lar, iPad'ler ve iPod'lar, iOS 13'ün piyasaya sürülmesiyle geçen hafta düzeltme aldı, ancak iPhone 5s, 6 ve 6 Plus gibi birçok eski iOS cihazının iOS 12'ye bağlı kalması gerekiyor.
Mac yamaları, macOS'in son üç sürümü içindir - 10.14 Mojave, 10.13 High Sierra ve 10.12 Sierra - ancak yapınız için yeni bir sürüm numarası almayacaksınız. macOS/OS X'in daha eski, desteklenmeyen sürümleri de etkilenmiş olabilir. (Hâlâ bunlardan birini çalıştırıyorsanız, güncelleme zamanı gelmiştir.)
Bir gizemi temizlemek
Apple, Google Project Zero araştırmacıları Samuel Groß ve Natalie Silvanovich tarafından keşfedilen "geliştirilmiş giriş doğrulama ile ele alınan sınırların dışında bir okuma" içermesi dışında kusur hakkında fazla bir şey söylemiyor. Ortak Güvenlik Açığı ve Etkilenmeler (CVE) numarası CVE-2019-8641'e atanmıştır.
Ancak, güvenlik açığının birkaç ay öncesine dayandığı ve benzer bir dizi kusur düzeltildikten uzun süre sonra çözülmeden kaldığı ortaya çıktı.
Bu sabah (27 Eylül), Sophos'tan Paul Ducklin noktaları birleştirdi ve bunun Groß ve Silvanovich'in yaz boyunca ortaya çıkardığı iOS'taki birçok kusurun sonuncusu olduğunu ve bu kusurlardan sadece birinin açıklanamayan ve yamasız kalan tek kişi olduğunu anladı. neredeyse iki ay.
Temmuz ayı sonlarında ortaya çıkan ve Apple'ın çoğunlukla iOS 12.4 ile düzelttiği bir dizi Apple Messages kusuru olduğunu hatırlayabilirsiniz. Bazı kusurlar, bilgisayar korsanlarının yalnızca özel hazırlanmış bir mesaj göndererek iPhone'ları ele geçirmesine izin verebilirdi.
Standart prosedür olduğu gibi, Project Zero araştırmacıları, Apple iOS 12.4'ü yayınladıktan sonra hataların tam olarak nasıl çalıştığını açıkladı. Ancak iOS 12.4'ün tam olarak düzeltmediğini düşündükleri için bir kusurla ilgili bilgileri tuttular.
Silvanovich, 29 Temmuz'da Twitter'da "Danışmadaki düzeltme güvenlik açığını çözmediği için CVE-2019-8641'i son tarihine kadar alıkoyuyoruz."
Silvanovich ve Groß araştırmalarını yolda yürütürken ve bulgularını Ağustos ayında Black Hat güvenlik konferansında sunarken ve Apple iOS'u 12.4.1 sürümüne güncelleyip bir "tamamlayıcı" yayınladığında, gizemli kusur iki ay daha açıklanmadı. macOS Mojave 10.14.6'ya güncelleme.
Son olarak, tam açıklama
Artık her şey gerçekten düzeldiğine göre, kedi çantadan çıktı. Silvanovich, iOS 13'ün piyasaya sürülmesinden sonra 23 Eylül Pazartesi günü bir Project Zero blog gönderisinde CVE-2019-8641'in ayrıntılarını sessizce açıkladı.
Güvenlik açığıyla ilgili açıklaması, iOS'un iç işleyişinde iyi bilgi sahibi olmayan herkes için anlaşılmaz, ancak "bu sorun henüz Mac ve iPad için çözülmedi, ancak şimdi 12.4'teki değişiklik nedeniyle yalnızca yerel bir güvenlik açığı olduğunu kaydetti. .1."
Bu yerel güvenlik açıkları muhtemelen iOS 12.4.2 güncellemesi ve macOS yamalarıyla giderildi.
Resim kredisi: blackzheep/Shutterstock