Patch Mac, mennesker og Apple Watches og eldre iPhones, iPads og iPod Touches.
Apple ga i går (26. september) ut en nødoppdatering for Macer for å fikse en feil som ville la en "ekstern angriper … forårsake uventet programavslutning eller vilkårlig kjøring av kode."
På vanlig engelsk betyr det at en hacker kunne få tilgang til Mac -en din fra internett og kjøre skadelig kode eller stenge legitime programmer. Unødvendig å si, det er veldig dårlig.
Det ble også utstedt oppdateringer i går for watchOS (5.3.2) og iOS 12 (12.4.2) for å fikse den samme feilen. Nye iPhones, iPads og iPods fikk fiksen i forrige uke med utgivelsen av iOS 13, men mange eldre iOS -enheter, for eksempel iPhone 5s, 6 og 6 Plus, må holde seg til iOS 12.
Mac -oppdateringene er for de tre siste versjonene av macOS - 10.14 Mojave, 10.13 High Sierra og 10.12 Sierra - men du får ikke et nytt versjonsnummer for bygningen din. Eldre, ikke -støttede versjoner av macOS/OS X påvirkes sannsynligvis også. (Hvis du fortsatt kjører en av dem, er det på tide å oppdatere.)
Å avklare et mysterium
Apple sier ikke så mye mer om feilen, bortsett fra at det innebærer at "en lesning utenfor grensen [som] ble adressert med forbedret inputvalidering", ble oppdaget av Google Project Zero-forskere Samuel Groß og Natalie Silvanovich, og ble tildelt Common Sårbarhet og eksponering (CVE) nummer CVE-2019-8641.
Men det viser seg at sårbarheten går flere måneder tilbake, og den ble etterlatt lenge etter at en lignende rekke feil var rettet.
I morges (27. september) koblet Sophos 'Paul Ducklin prikkene og fant ut at dette er den siste av flere hovedsakelig iOS -feil som Groß og Silvanovich avslørte i løpet av sommeren, og den eneste av disse feilene som forblir uforklarlige og upatched for nesten to måneder.
Du husker kanskje at det var en rekke feil i Apple Messages avslørt i slutten av juli, som Apple stort sett utbedret med iOS 12.4. Noen av feilene ville ha tillatt hackere å overta iPhone bare ved å sende en spesiallaget melding.
Som standardprosedyre forklarte Project Zero -forskerne nøyaktig hvordan feilene fungerte etter at Apple utstedte iOS 12.4. Men de holdt tilbake informasjon om en feil fordi de følte at iOS 12.4 ikke helt fikset det.
"Vi holder CVE-2019-8641 tilbake til fristen, fordi reparasjonen i rådgivningen ikke løste sårbarheten," skrev Silvanovich på Twitter 29.
Mysteriefeilen ble ikke avslørt i to måneder til, selv om Silvanovich og Groß tok forskningen på veien og presenterte funnene sine på Black Hat -sikkerhetskonferansen i august, og da Apple oppdaterte iOS til versjon 12.4.1 og ga ut et "tillegg" oppdatering til macOS Mojave 10.14.6.
Til slutt, full avsløring
Nå som alt virkelig er fikset, er katten ute av sekken. Silvanovich offentliggjorde stille detaljer om CVE-2019-8641 mandag (23. september), etter utgivelsen av iOS 13, i et blogginnlegg fra Project Zero.
Hennes forklaring på sårbarheten er uforståelig for alle som ikke er godt kjent med det interne arbeidet til iOS, men hun bemerket at "dette problemet ennå ikke er løst for Mac og iPad, men nå bare er et lokalt sårbarhet på grunn av endringen i 12.4 .1."
Disse lokale sårbarhetene er antagelig nå adressert med iOS 12.4.2 -oppdateringen og macOS -oppdateringene.
Bildekreditt: blackzheep/Shutterstock