Právě vyšla druhá verze aplikace Apple Rapid Security Response, v rámci které mohou uživatelé nejnovějších verzí macOS, iOS a iPadOS získat nouzové záplaty. Jejich výhodou je, že Applu netrvá tak dlouho je vytvořit, otestovat a zveřejnit, jako u aktualizace plné verze softwaru, a dlouho netrvá ani jejich stažení, instalace a aktivace. Současně neprovádějí nevratné změny, které nelze vrátit zpět, pokud se něco pokazí.
Rychlost je klíčová
Poslední výše uvedený bod je překvapivě důležitý vzhledem k tomu, že společnost Apple uživatelům nedovoluje odinstalovat plné aktualizace systému pro jejich iPhony nebo iPady, a to ani v případě, že zjistí, že způsobují vážné potíže a přejí si, aby je vůbec nepoužili.
Je to proto, že Apple nechce, aby uživatelé mohli záměrně software na svých zařízeních downgradovat, aby znovu zavedli staré chyby, o kterých nyní ví, že je lze využít pro tzv. jailbreak, tedy „odemknutí“ zařízení, které dovolí zasahovat do souborového systému a instalovat různé aplikace, které nebyly schváleny vývojářskými podmínkami Apple, nebo instalaci alternativního operačního systému, a to i na zařízeních, která Apple sám již nepodporuje.
I když své digitální zařízení úplně vymažete a znovu nainstalujete od začátku přes kabel USB pomocí nástroje DFU (přímá aktualizace firmwaru), servery společnosti Apple vědí, jakou verzi jste používali před přeinstalací, a nedovolí vám aktivovat obraz starého firmwaru na zařízení, které již bylo dříve aktualizováno.
Cena za toto obchodní rozhodnutí společnosti Apple udržovat uživatele na jednosměrné cestě upgradů iPhonů a iPadů je taková, že jednoduše nemůže přispěchat s nouzovými upgrady tak rychle, jak by si jinak přála (nebo jak byste si přáli sami uživatelé). Je to proto, že jediný způsob, jak opravit kritické problémy, které by upgrade mohl způsobit, je vydat další kompletní upgrade, který jej nahradí, protože neexistuje žádný rychlý proces opravy stávajícího úplného upgradu, který byl sám vydán příliš rychle.
Účelem Rapid Security Response je tento problém obejít, přinejmenším pro určitou část softwaru v zařízení, zejména pro Safari a další komponenty webového prohlížeče, které jsou běžně zneužívány zločinci k útokům, jako je skrytá implementace spywaru nebo infikování sledovacím malwarem.
Jak bylo uvedeno výše, záplaty Rapid Security Response se mají rychle nainstalovat a v případě potíží je lze snadno odstranit. Podle vyjádření společnosti Apple jsou záplaty Rapid Security Response navrženy tak, aby „přinášely důležitá bezpečnostní vylepšení mezi aktualizacemi softwaru – například vylepšení webového prohlížeče Safari, frameworku WebKit nebo jiných kritických systémových knihoven. Mohou být také použity k rychlejší eliminaci některých bezpečnostních problémů, jako například těch, co už byly odhaleny a nahlášeny jako zneužitelné.“
Význam záplat prohlížeče
Samotné prohlížení stránek by mělo být poměrně málo rizikové, protože prohlížeč je naprogramován tak, aby uživatele chránil před bezprostředním nebezpečím. Z pohledu kybernetické bezpečnosti by totiž obsah prohlížeče neměl způsobit vůbec žádné nebo minimální softwarové potíže, pokud se pouze díváte na webové stránky.
Jistě, můžete být oklamáni falešným obsahem, ale to nebude mít přímý vliv na zabezpečení kódu běžícího v samotném zařízení. Můžete být podvedeni, abyste schválili nějakou rizikovou akci, například instalaci podvodné aplikace nebo vyplnění falešného přihlašovacího formuláře, ale obvykle máte alespoň nějakou šanci odhalit, že jste podváděni. Jednoduše řečeno, pokud jste na webu „jen na návštěvě“, nemělo by vám hrozit žádné riziko spojené s aktivitou při prohlížení.
Samozřejmě, že schopnost prohlížeče ochránit vás před zcela automatizovanými útoky a zajistit, aby obsah webové stránky sám o sobě nikdy nestačil k tomu, aby vás infikoval malwarem nebo ukradl data z vašeho zařízení, závisí na tom, zda prohlížeč neobsahuje bezpečnostní chyby, jejichž prostřednictvím by mohl nastražený obsah obejít vlastní bezpečnostní štíty prohlížeče a vystavit vás útoku, kterému se říká drive-by instalace nebo look-and-get-pwned.
Co je potřeba nyní udělat?
Nejnovější záplaty Rapid Security Response je třeba brát jako kritické. Vzhledem k opravené chybě předpokládáme, že souvisejí s živým útokem spywaru nebo malwaru, který právě probíhá:
Impact: Processing web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: The issue was addressed with improved checks.
CVE-2023-37450: an anonymous researcher
V žargonu „aktivně zneužitý“ (actively exploited ) znamená, že se jedná se o zero-day zranitelnost, nebo ještě přímočařeji „útočníci na ni přišli jako první“, což nám říká, abychom aktualizaci neodkládali a prostě ji udělali ještě dnes.
V Rapid Security Response jsou k dispozici nejnovější verze systémů macOS Ventura 13.4.1, iOS 16.5.1 a iPadOS 16.5.1. Tyto verze se po instalaci rychlé záplaty budou zobrazovat jako 13.4.1 (a), resp. 16.5.1 (a), přičemž koncové písmeno (a) zmizí, pokud záplatu později odinstalujete. Pro starší podporované verze macOS Big Sur a macOS Monterey existuje staronová aktualizace systému, která pouze opravuje Safari, které se po aktualizaci bude zobrazovat jako Safari 16.5.2.
Zatím však [2023-07-10 23:00:00Z] nejsou k dispozici žádné aktualizace pro další platformy Apple, i když je možné, že se problém týká i systému iOS 15, který je stále oficiálně podporován na starších iPhonech a iPadech, a také hodinek a televizorů Apple Watch.
Přejděte do Nastavení > Obecné > Aktualizace softwaru a zkontrolujte, zda jste již správně obdrželi a nainstalovali tuto nouzovou záplatu. Nezapomeňte, že na iPhonech a iPadech jsou všechny prohlížeče a aplikace, které mohou zobrazovat webový obsah (ať už jsou od Applu, Mozilly, Microsoftu, Googlu nebo jiného výrobce), nuceny používat na pozadí WebKit. Takže pouhá instalace alternativního prohlížeče a vyhýbání se po určitou dobu prohlížeči Safari, sama o sobě nestačí. Na starších počítačích Mac zkontrolujte, zda není k dispozici aktualizace Safari 16.5.2, a to pomocí nabídky O tomto počítači > Aktualizace softwaru….
Paul Ducklin, bezpečnostní expert ve společnosti Sophos