Spoločnosť Apple vydala nové kolo aktualizácií Rapid Security Response (RSR) s cieľom vyriešiť novú chybu zero-day využívanú pri útokoch a ovplyvňujúcu plne opravené iPhony, Macy a iPady.
CVE je rezervovaný. https://cve.report/CVE-2023-37450
Má niekto podrobnosti? Twitter už nie je v poslednej dobe užitočný na zisťovanie obsahu bezpečnostných záplat s ich nepriateľstvom voči neprihláseným používateľom.
GeneralFailureDriveA povedal:Má niekto podrobnosti? Twitter už nie je v poslednej dobe užitočný na zisťovanie obsahu bezpečnostných záplat s ich nepriateľstvom voči neprihláseným používateľom.
Kliknutím rozbalíte...
Celkom typické embargo na detaily na niekoľko dní, aby mali ľudia čas na opravu. To však veľa nerobí, pretože chybu možno zvyčajne spätne spracovať preskúmaním zmien, takže neočakávam veľké oneskorenie.
Najlepším zdrojom týchto vecí je teraz zvyčajne infosec.exchange.
Zdá sa, že táto aktualizácia bola stiahnutá – teraz nevidím aktualizáciu na Mac alebo iOS (neinštaloval som ju skôr) a zdá sa, že existuje veľa správ že to porušuje veci (najmä webové stránky, ktoré zisťujú UA – Facebooku sa zjavne nepáči, že vidí 16.5.2(a) v používateľskom agentovi Safari reťazec).
Poď, Apple.
EDIT: Možno je to všeobecne známe, ale dnes som sa dozvedel, že môžete ľahko odstrániť aktualizácie zabezpečenia.
Zapojené včera na mojom MBP. Zdá sa, že Facebook nie je zlomenejší ako zvyčajne.
Nie som si istý, či chápem, prečo by ste stiahli aktualizáciu na zero-day, o ktorej bolo známe, že sa využíva, keď oprava (reťazec používateľského agenta) by mala byť jednotná.
Pravdepodobne preto, že oprava postihla oveľa viac ľudí ako exploit.Megalodon povedal:Nie som si istý, či chápem, prečo by ste stiahli aktualizáciu na zero-day, o ktorej bolo známe, že sa využíva, keď oprava (reťazec používateľského agenta) by mala byť jednotná.
Kliknutím rozbalíte...
Toto nie je môj názor, len moje pozorovanie na základe dotknutých stránok.
leet povedal:Pravdepodobne preto, že oprava postihla oveľa viac ľudí ako exploit.Toto nie je môj názor, len moje pozorovanie na základe dotknutých stránok.
Kliknutím rozbalíte...
V tomto prípade je škoda dočasným prerušením zo stránok, ako je Facebook, a Facebook to môže opraviť na svojom konci. Oproti kompletnému prevzatiu vášho počítača s neobmedzeným prístupom ku všetkému, čo máte v počítači. Rozumný bezpečnostný postoj by mal tolerovať oveľa viac dočasného nepohodlia ako trvalý kompromis.
Horšie je, že Apple už vydal opravu, čo znamená, že zlí herci ju spätne analyzujú. Akýkoľvek malý počet ľudí o tom vedel predtým, oveľa väčší počet o tom vie teraz. Dôvod, prečo predajcovia OS často vopred ohlásia opravy, ako je tento, pretože hodiny sa počítajú a prinútia každého, aby si nainštaloval čo najskôr. Stiahnutie náplasti po prepustenie a ponechanie ľudí zraniteľných so zlými hercami, ktorí sú teraz vyzbrojení nezaplateným 0-dňom, je veľmi nebezpečné.
Presné dôvody, prečo Apple stiahol aktualizáciu, nepoznáme.
Osud 13.4.1 (b) zostane očividne záhadou.
