Среди всей шумихи о Log4Shell легко забыть обо всех других обновлениях, которые нас окружают.
Это не только вторник патчей (следите за нашим партнерским сайтом news.sophos.com последние новости на этот счет позже в тот же день)…
… Но также пора проверить свои устройства Apple, потому что Apple только что выпустила множество своих они прибывают, когда они готовы, и не ожидают никаких предупреждений патчи безопасности.
Вы ищете обновленные версии:
Что касается iOS 14 и iOS 12, которые являются официальными предыдущими и предшествующими операционными системами iPhone (точно так же, как Big Sur и Catalina являются предыдущими воплощениями macOS), для них нет никаких признаков каких-либо обновлений.
Внимательные читатели заметят, что URL-адреса в приведенном выше списке образуют непрерывную числовую последовательность, за исключением пробела в HT212977, поэтому мы не можем сказать вам, остается ли это место открытым для отложенного обновления для iOS 14 или нет …
… Но мы заметили, что главная страница доски объявлений Apple, HT201222, все еще [2021-12-14T12:00Z] не упоминает обновления, перечисленные выше.
В прошлом мы заметили очевидную корреляцию между отложенными обновлениями для отдельных платформ и отложенными листингами на HT201222, но мы понятия не имеем, является ли это совпадением, а не истинной корреляцией, или желанием со стороны Apple отложить обновление центрального листинга. пока все новые версии не будут отображены за один раз.
(Как вы знаете, у Apple есть официальная политика, согласно которой об обновлениях и циклах обновлений следует как можно меньше говорить, поэтому нам придется подождать и посмотреть.)
А что насчет Log4Shell?
Как вы понимаете, учитывая время выпуска этого обновления, наша первая мысль заключалась в том, чтобы сразу перейти к вышеприведенным бюллетеням и поискать CVE-2021-44228, более известный как Log4Shell, чтобы проверить, не кризис кибербезопасности За этими заплатами стояла в настоящее время циркулирующая по всему миру.
Хорошая новость, если вы хотите так думать, заключается в том, что это не так: мы не видели упоминания текста. CVE-2021-44228, Log4Shell или log4j где угодно в любом из вышеперечисленных бюллетеней.
Плохая новость, пожалуй, в том, что Apple исправила множество других уязвимостей.
Патчи включают в себя многие, которые сразу не кажутся такими серьезными, как Log4Shell (потому что ими уже не злоупотребляют активно и агрессивно), но теоретически это могло быть еще хуже (потому что они включают более серьезные побочные эффекты, такие как потенциальные полный компромисс ядра).
Исправления безопасности в этом раунде обновлений закрывают дыры, в том числе:
- Удаленное выполнение кода на уровне ядра. Может привести к полному взлому системы безопасности устройства.
- Отслеживание недостатков. Может привести к тому, что за вами будут выслеживать, когда вы думали, что этого не может быть.
- Обход вредоносного ПО. Может привести к рудиментарному встроенному антивирусу Apple, позволяющему вредоносному ПО обходить его проверки.
- Утечка сетевого трафика. Может показывать сетевой трафик людям, которые не должны его видеть.
- Утечка памяти. Могут быть раскрыты секреты, такие как ключи шифрования или адреса утечки памяти, которые помогают обойти рандомизацию разметки адресного пространства (ASLR).
- Повышение привилегий. Может позволить невиновному приложению ускользнуть из-под контроля безопасности.
- Обходит конфиденциальность. Могут позволить другим пользователям читать или изменять запрещенный контент.
Что делать?
Как всегда:
- На вашем iPhone или iPad: Настройки > Общий > Обновление программного обеспечения
- На вашем Mac: Меню Apple > Об этом Mac > Обновление программного обеспечения…
Что касается печально известной дыры в Log4Shell: да, эта ошибка может частично повлиять на Mac, потому что недостаток существует в библиотеке программирования Java, а Java – это кроссплатформенная среда, которая одинаково хорошо работает в Windows, Linux, macOS, xBSD и многих других. операционные системы.
На компьютерах Mac и iDevices риск обычно ниже, чем на компьютерах, предлагающих онлайн-услуги, которые доступны миллионам внешних пользователей и могут ими воспользоваться.
Но если вам нужен совет о том, как найти приложения, которые включают в себя ошибочную библиотеку Log4j, прочтите нашу последнюю статью с разъяснениями и советами по Log4Shell:
.