Nul
En Google-Project Zero forsker har offentliggjort en macOS udnytte til at demonstrere, at Apple er ved at udsætte sine brugere for sikkerhedsrisici ved at lappe alvorlige fejl i iOS, men ikke afslører den kendsgerning, indtil det løser de samme fejl i macOS en uge senere.
Dette skete under Apple ‘ s opdatering for kritiske fejl i iOS 12, tvOS 12 og Safari 12 September 17.
En Wayback Machine snapshot af den originale sikkerhedsbulletin ikke nævne nogen af de fejl, der Project Zero forsker Ivan Fratric havde rapporteret til Apple, og som faktisk var fast.
Så, en uge senere, efter Apple lappet de samme fejl i macOS, virksomheden opdateret sin originale sikkerhedsbulletin med oplysninger om de ni fejl, at Fratric havde rapporteret, hvoraf seks påvirket Safari.
Opdateringen rettede en Safari fejl, der tillod udførelse af vilkårlig kode på macOS, hvis en sårbar version af Safari browseren på en hjemmeside hosting en udnyttelse af bugs.
SE: 10 Terminal kommandoer til at fremskynde dit arbejde på Mac ‘ en (gratis PDF)
Mens Fratric indrømmer, at Apple er nok at skjule fix i iOS for at købe tid til at lappe macOS, han argumenterer for, at det endelige resultat er, at folk kan ignorere en vigtig sikkerhedsopdatering, fordi de ikke blev ordentligt informeret af Apple i sikkerhedsbulletin.
“Denne praksis er vildledende, fordi kunder, der er interesseret i Apple sikkerhedsbulletiner, som sandsynligvis ville læse dem kun én gang, når de er frigivet, og de indtryk, de ville få, er, at produktet opdateringer retter langt færre sårbarheder og mindre alvorlige sårbarheder, end det er tilfældet.”
Endnu værre er, at en dygtig hacker kan bruge opdateringen til iOS til at reverse engineer et plaster, til at udvikle et exploit til macOS, og derefter installere det mod en macOS bruger-base, som ikke har en patch.
Brugere heller ikke vide, at Apple har frigivet oplysninger, der kunne gøre deres systemer sårbare over for angreb.
Fratric udviklet et exploit til en af de Safari bugs han rapporterede og offentliggjorte angreb på torsdag. Den fejl blev alle fundet ved hjælp af en offentligt tilgængelig fuzzing værktøj, han har udviklet, kaldes Domato, hvilket betyder at alle andre, herunder avancerede angribere, kan bruge det også.
“Hvis en offentlig værktøj, der var i stand til at finde ud af, at mange fejl, og det forventes, at private virksomheder kan være endnu mere vellykket,” bemærkede han.
Han var ikke til formål at skrive en pålidelig eller sofistikeret udnytte, men fejlen er nyttigt nok for en dygtig udnytte forfatter til at udvikle et angreb til at sprede malware og “potentielt gøre en masse skade, selv med en upålidelig udnytte”.
Fratric sagde han med succes testet udnytte på Mac OS 10.13.6 High Sierra, bygge version 17G65. “Hvis du stadig bruger denne version, du måske ønsker at opdatere,” bemærkede Fratric.
SE: Cybersikkerhed i en tingenes internet og mobil verden (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
På den positive side, fremgår det, Apple og dets WebKit Safari-holdet har forbedret sikkerheden i browseren sammenlignet med resultaterne af Fratric er Domato fuzzing indsats sidste år, som dukkede op langt flere fejl i Safari, end i Chrome, Internet Explorer, og Kant. Sidste år fandt han 17 Safari mangler hjælp fuzzing værktøj.
På trods af denne forbedring, den nyligt fundet fejl tyder på, at Apple fortsætter med at indføre sikkerhedshuller i Webkits kodebase, og at de bliver inkluderet i udgivelsen produkter, før de bliver fanget via intern afprøvning af sikkerheden.
Denne interne test, manglende foreslår, at Apple har behov for at sætte mere computerkraft bag fuzzing før frigive sine produkter, i henhold til Fratric.
Hans sidste ord af advarsel om ikke at se bort fra en af de fejl, han har fundet, bare fordi ingen har set dem blive angrebet i naturen.
“Mens det er let at børste væk sådanne fejl, som noget, vi ikke har set den faktiske angribere bruge, det betyder ikke, at det ikke sker, eller at det ikke kunne ske,” forsker er angivet.
Tidligere og relaterede dækning
Apple iOS 12 sikkerhedsopdatering tackler Safari spoofing, data lækager, kernehukommelse fejl
IPad og iPhone-maker ‘ s iOS 12 lanceringen er ledsaget af en masse sikkerhedsopdateringer til forskellige produkter.
Windows-10 sikkerhed: Google Project Zero makulerer Microsoft ‘ s unikke Edge-forsvar
Google Project Zero siger Microsofts Vilkårlig Kode Vagt i Kanten fejler hvor Chrome ‘ s hjemmeside isolation lykkes.
Apple forbedrer sikkerhed beskyttelse i macOS Mojave
macOS Mojave er den nyeste version af Mac-operativsystemet, der præsenteres i dag i løbet af Apple ‘ s WWDC konference.
Google Project Zero: ‘Her er hemmeligheden til at angive fejl, før hackere finde dem”
Google ‘ s Project Zero har problemer med Samsung og HackerOne sikkerhed bug rapportering processer.
Google ‘ s Project Zero udsætter unpatched Windows 10 lockdown bypass
Google afviser flere anmodninger fra Microsoft for en udvidelse til Project Zero ‘ s 90-dages afsløre-eller-fix frist.
Kinesisk spion chips: 3 potentielle fallouts for erhvervslivet, TechRepublic
En Bloomberg rapporterer, at Kinesiske spioner hemmeligt tilføjet mikrochips på bundkort, der gik til Apple, Amazon, og CIA.
Apple, Amazon benægte rapport, at Kinesisk spion chips infiltreret deres hardware CNET
Tech-giganter tvist om en masse overvågning kampagne.
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre
0