iOS 18.0.1 Includes Security Fixes for Messages and Passwords Apps https://t.co/oYa52bfpO4 pic.twitter.com/ZLhR9Pgnxc
— MacRumors.com (@MacRumors) October 4, 2024
- A hozzászóláshoz be kell jelentkezni
- 685 megtekintés
Hozzászólások
Mondjuk a VoiceOver-nek ez a dolga.. részletek?
Gondolom felolvashatja olyan esetben ha nem lett azonosítva a user, vagy?
- A hozzászóláshoz be kell jelentkezni
Mondjuk a VoiceOver-nek ez a dolga
Igen, ebben a formában. Ezért szerepel a javított biztonsági problémák listáján.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Hevi után szabadon: szokásos Apple minőség! 🍎🍆😮
- A hozzászóláshoz be kell jelentkezni
Honnan a kritikus minősítés? Az Apple hivatalos oldalán nem írják kritikus szintnek, a CVE-ben sem.
- A hozzászóláshoz be kell jelentkezni
Hol olvastad, hogy xy által kritikus besorolású?
A kritikus jelző az embedben található, a forrásban.
Apple has released critical iOS and iPadOS updates addressing a #vulnerability (CVE-2024-44204) that could expose your passwords via VoiceOver #technology.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A te forrásod a hackersnews. Sem az Apple nem írta, hogy kritikus, sem a CVE adatbázis. Valahogy a Hackersnewsnál ez kritikussá nemesedett.
- A hozzászóláshoz be kell jelentkezni
Ja, azt megértem, hogy az Apple szerint (meg a fanboyaik szerint) ez nem kritikus probléma, de hadd döntsék ezt el a független sajtó (HN) és a pártatlan felhasználok maguk.
Vigyázz! Nehogy önellentmondásba kerülj!
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A sajtó ne döntsön, nem az a dolga, az írja meg, hogy mi történt. A CVE adatbázisban a sérülékenység kritikussága meg nem feltétlenül az, amit az adott gyártó mond, viszont ott sincs ez kritikusként megjelölve. Mellesleg kaptam én annak idején hírlevelet biztonsági cuccokkal foglalkozó gyártóktól, ahol a saját sérülékenységüket minősítették, és inkább felülbecsülték a súlyosságát, mint alul, szóval nem érdemes helyből negligálni a gyártói minősítést.
Ráadásul elolvastam a tartalmakat, az egyik helyből nem érint, mert nem használok felolvasószoftvert, a másik azért nem, mert a messengernek nem engedtem mikrofonhasználatot. Szóval Trey szóhasználattal #worksforme (vigyázz, nehogy önellentmondásba kerülj!), másrészt az, hogy fél másodperccel később villan fel a pötty, az szerintem se kritikus, egyszerű hülyeség. A jelszó felolvasás meg kifejezetten érdekes lehet, amikor a kis/nagybetűk mellett van még benne vagy három írásjel. Egyszer meghallgatnám :)
- A hozzászóláshoz be kell jelentkezni
A jelszavak engedély nélküli felolvasása mindenhol ordas (kritikus) hiba, hacsak arra a felhasználó nem adott explicit engedélyt. Engedély lehet egy vak/gyengénlátó ember esetén az, hogy a készüléken a kisegítő lehetőségek közt a vakokat segítő funkciót aktiválta, majd rákérdezés után szóban engedélyezi a felolvasást. De ezt is inkább ne.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Mivel a leírás nem részletezi, hogy hogyan történik a jelszavak felolvasása, nem lehet eldönteni, hogy mennyire kritikus. Én is egyébként a gyengénlátókat segítő funkciót tartom legvalószínűbbnek, de ez csak feltételezés.
- A hozzászóláshoz be kell jelentkezni
Én is egyébként a gyengénlátókat segítő funkciót tartom legvalószínűbbnek
Félreérthető lehettem, én azt valószínűsítem, hogy nem volt a megfelelő előfeltételekhez kötve _eddig_ és ezt pótolták:
A user's saved passwords may be read aloud by VoiceOver [...] Description: A logic issue was addressed with improved validation.
Én ennek ismeretében egyetértek a HN-zal, ez egy ordas, aka. kritikus hiba.
(igen, a szemlézés kitétele előtt elolvastam az Apple leírását)
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Én várok a 18.x verzióra átállással legalább decemberig. Tuti kijön addig még pár bug, sérülékenység, amiket javítani kell majd.
- A hozzászóláshoz be kell jelentkezni