Kritikus 0day sérülékenységeket javított az Apple a iOS-ben, iPadOS-ben és macOS-ben

Apple
  • CVE-2022-32893 - An out-of-bounds issue in WebKit which could lead to the execution of arbitrary code by processing a specially crafted web content
  • CVE-2022-32894 - An out-of-bounds issue in the operating system's Kernel that could be abused by a malicious application to execute arbitrary code with the highest privileges

Az egyik egy WebKit hiba, amit speciálisan összerakott weboldalon keresztül lehet kihasználni, a másik pedig egy kernel hiba, amit kihasználva a támadó privilégiumszint-emelést hajthat végre. Az első sérülékenységet sikeresen támadva a támadó betörhet az áldozat gépére/készülékére, a másodikat kihasználva pedig root jogokhoz juthat. A sérülékenységeket az Apple javítása előtt már kihasználhatták (Apple: "may have been actively exploited"). Mindkét sérülékenységet javítja a frissen kiadott iOS 15.6.1, iPadOS 15.6.1 és macOS Monterey 12.5.1.

Érdemes mielőbb frissíteni.

Részletek itt.

( Hevi v | 2022. 08. 18., cs – 13:19 )

Egy héten belül az Apple eszközök 90%-a védve lesz.

Hasonló szituációban az Android eszközök 10%-a lenne két hónap alatt.

Pegazussal lehetett androidot és iOS-t is törni, a különbség "mindössze" annyi volt, hogy az Androidon user interrakció kellett hozzá (egy linkre rá kellett kattintani), iOS-en pedig nem kellett hozzá user interrakció. Az NSO group biztos nem tudta megfizetni azokat a script kiddieket, akik a user interrakció (és hírérték) nélküli android töréseket csinálják.

Rosszul teszed fel a kérdést mert Pegazus Androidra is volt.

Az iOS pedig két dologban előz: sokkal tovább támogat (2-3 év vs 10 év, hát majd meglátjuk mikor hagyják abba, figyeld a SE 1st gent meg a 6s -t), és sokkal hatékonyabban nyomja az userek felé a frissitést.

Az android vendorok sokmindenben jók, de ebben mindmáig gyerekcipőben járnak.

Ja meg vezet a "fejlessz egy exploitot, törd meg az összes iPhone-t, iPad-et, macOS-t"-ben is.

Ami szerintetek az előnye, az a hátránya security szempontból. Egy központi böngészőmotor lehet, arra húzhat bohócruhát ((gyakorlatilag skin-elheti a böngészőgyártó), aztán csókolom. Erre kell exploitot fejleszteni, mindent visz, mint a piros ász.

Android-on Firefox, Chrome, Vivaldi ... ezer vendor ezer megoldása

trey @ gépház

Bár értelek, meg alapvetően igaz is, de azér a képet árnyalja egy kicsit, hogy mire kell lőni androidon:

Chrome 65.16
Safari 24.23
Samsung Internet 4.86
Opera 1.6
UC Browser 1.61
Android 0.7
Firefox 0.5
Instabridge 0.24
QQ Browser 0.38
Whale Browser 0.12
Puffin 0.16
KaiOS 0.05
Yandex Browser 0.12
Edge 0.14
Edge Legacy 0.01
Unknown 0.05
Coc Coc 0.06
Other 0.02

Tehát a választás lehetősége az egyiknél 0, a másiknál pedig számos. Köszi a megerősítést.

Ráadásul úgy, hogy ahol 0, ott ugyanaz az exploit üti rommá a delikvens telefonját és desktop operációs rendszerét. Az sem kizárt, hogy a telefonja összeszedi a malware-t, majd arról törik meg a desktop-ját és fordítva.

Szipi-szupi!

A diverzitás egyik oldalon egy létező dolog, a másikon meg nem létezik.

trey @ gépház

Persze a választás lehetősége jó, azzal kezdtem, hogy nem vitatom én ezt, de a gyakorlatban akkor is az van, hogy ha ezeket a számokat még kikorrigálod (mert ugye ez a teljes kép, a safari kijön belőle), akkor a chrome 86%, az már önmagában hát, ha nem is piros ász, de legalább egy király, főleg úgy, hogy a második helyen álló samsung internet a maga ~6,4 százalékával egy chromium, szóval nem áll messze a "Egy központi böngészőmotor lehet, arra húzhat bohócruhát ((gyakorlatilag skin-elheti a böngészőgyártó), aztán csókolom" definíciótól. Így marad ~7.6 százalék (de gyanús, hogy van abban még pár chromium). Ami valóban sokkal több, mint a nulla, és az is rengeteget számít (pl a pegazus kapcsán), hogy egyáltalán van lehetőség tudatos döntésre ezügyben, ezzel együtt az van, hogy a diverzitás jó, még jobb lenne, ha a gyakorlatban egy kicsit erősebben  létezne, pl amikor a desktop böngésző piacon valóban egy ligában játszott a a chrome és a róka és az IE.

szó nem volt konkrétan a saját biztonságodról. :) Arról volt szó, hogy ha találsz egy safari bugot, az almán mindent visz, bezzeg az android. Miközben a gyakorlatban, ha találsz egy chrome bugot, akkor az is majdnem mindent visz. Igen, csak majdnem, és ha te tudatosan mást csinálsz, akkor neked jobb, ezt nem vitattam.

Jeszzus atyaég, ki az aki telefonon böngészőt indít LOL, illetve ha indít kis esze van js meg minden más tiltva és ha nem működik az aktuális felekeresett oldal, leszarja bezárja. . Mi értelme bámulni egy 10cm képernyőt? Nevetséges, telefon fizetésre, közmű appokra, telefonálásra, signal és ennyi. Minden másra ott a linux biztonságos környezet, játékokra meg win11 XD

sudo mount -o ro /hup.hu

"Android-on Firefox, Chrome, Vivaldi ... ezer vendor ezer megoldása"

Androidon is hiába telepitgetsz browsereket, a webview engine -t a ROM adja, tehát hiába rakod fel a Vivaldit, vagy a Firefoxot, akkor is a Chrome lesz a webview engine. Beágyazott nézetben mindig az nyilik majd ki, ráadásul pont azokban az esetekben, amikor terjeszteni szokták a töréseket (pl. IM appok, link küldés).

Azt az esetet "lefeded" ha kézzel kinyitod a Firefoxot, de azt nem amikor egy app web nézetet nyit.

Részben azért nem használok Androidot, mert szinte lehetetlen megszabadulni attól hogy a Google beleüsse az orrát abba, hogy a weben mit csinálok.

Még mindig nem érted.

 

Az androidban is közös a webview réteg, nem tudod mire kicserélni és elég kinyitni egy beágyazott linket ahhoz hogy az egész platformot törd telefonostul, tabletestül.

A két platform között az a különbség hogy androidnál a felhasználói felülettel rendelkező browser lehet valami egyedi, amit esetleg nem érint valami sebezhetőség, de tekintve hogy a piac 95%át a chromium uralja, ez sem jelent szinte semmit.

Szóval pont ugyanolyan fos a két platform, de a kettő közül az iOS az amit hosszú távon védenek frissitésekkel, az androidnál meg mint tudjuk ez a téma nem tud kijönni a szánalom szintjéről.

Nyugodj meg, pontosan értem, hogy mit szerettél volna maszatolni és azt is, hogy az amit próbálsz miért cringe. Az a szerencse, hogy vakon hihetsz a NAAAGY Apple biztonságban. Fogalmad nincs, hogy az Apple bejelentés _előtt_ meddig és milyen nagyságrendben használták ki ezt a két sérülékenységet, lehet, hogy a te telefonod is rommá törték már, de arról beszélsz, hogy óriási a biztonság, mert egy-egy 0day-t a széles körű kihasználása _után_, mikor méltóztattak az Apple-nél felfedezni / vagy eladták már neki az infókat (bug bounty-ban felvették érte a lóvét), mert a sérülékenység ismertté vált és így elértéktelenedett, hónapokkal _később_ javítottak.

és elég kinyitni egy beágyazott linket ahhoz hogy az egész platformot törd telefonostul, tabletestül.

Ásítós. Attól, hogy te megtöröd a telefonomat, nem fog feltétlen működni ugyanaz az exploit a számítógépemen. Érted ... Dehogy érted! :D Ez az Apple ökoszisztémában most pont, hogy aktuális. Ugyanaz a sérülékenység bassza agyon az iOS-t, az iPadOS-t és a macOS-t.

Egy 'sploit mind fölött,

Egy 'sploit kegyetlen,

Egy a sötétbe zár,

bilincs az Egyetlen.

trey @ gépház

Félremaszatolsz, amit leirtál pont mindenre pont igy igaz, egy dologban van igazad, de abban is félig tévedtél, mert a macOS kilóg belőle: iOS -on és iPadOS -on valóban csak Apple webkit van.

Amúgy chrome -on ugyanúgy széttörik a telódat, tabletedet, PC -det egy sebezhetőséggel.

Kicsit tájékozódj mielőtt hozzászólsz valamihez.

Már megint maszatolsz, ez a két sérülékenység érinti a macOS-t is.

Amúgy chrome -on ugyanúgy széttörik a telódat, tabletedet, PC -det egy sebezhetőséggel.

Ja, de itt egy exploitláncról (remote böngésző + local kernel) van szó  😂

Ez egy az egyben bassza a hármat az Apple világban. Egy Android telefonnal rendelkező + random Linux disztrót futtató embernél (tök más kernelverziók), aki ráadásul nem Chrome-ot használ ... most komolyan ...  Tényleg ezt akarod összehasonlítani 😆

Tájékozódj, mielőtt hozzászólsz valamihez.

trey @ gépház

macOS -en nem kötelező azt a webkitet használni, amit az apple csomagol, hiszen ha felrakod a chrome -odat, akkor nem azt fogja használni.

Ebben tévedtél.

Egy adott ökoszisztémában meg igen, még ezek mellett is érdemes közös szoftver stacket szállitani, csak hát az apple -ön kivül ez eddig senkinek nem igazán sikerült, pedig sokat próbálkoztak vele.

Valóban ez egy negativ oldalt erősitő esemény, de a mérleg serpenyőjében más dolgok is vannak, ha hátrábbról nézed.

Az meg hogy az apple kereskedik a sebezhetőségekkel, töreti az usereket és direkt késve javit, nettó hazugság amig nem bizonyitod be...

Az meg hogy az apple kereskedik a sebezhetőségekkel, töreti az usereket és direkt késve javit, nettó hazugság amig nem bizonyitod be...

Se azt nem állítottam, hogy az Apple kereskedik a sebezhetőségekkel, se azt, hogy töreti az usereit. Ezt te álmodtad vagy szándékosan hazudozol.

trey @ gépház

"mikor méltóztattak az Apple-nél felfedezni / vagy eladták már neki az infókat (bug bounty-ban felvették érte a lóvét), mert a sérülékenység ismertté vált és így elértéktelenedett, hónapokkal _később_ javítottak."

Implicit mindkettő benne van, hiszen állításod szerint az apple a sebezhetőségek sötét piaci értéke alapján javit vagy nem javit általa már ismert sebezhetőségeket, illetve a késlekedéssel implicit töreti is az usereit.

Lehet hogy nem mondtad ki, de utaltál rá.

Ezekről a dolgokról amúgy lehet fantáziakönyveket irni, de jó lenne ha tényeket hoznánk, és akkor félreértés se lenne.

Szóval várjuk a linkeket az apple sötét cselekményeiről.

Gyere mutatok példát:

https://hup.hu/cikkek/20220712/0day_android_kernel_sebezhetoseget_fedez…

Olvasd el a kommenteket. X embernél Y kernelverzió, abból egy sem érintett. Még ha a major kernelverzió ugyanaz is egy-két embernél (ami egyébként nem érintett), a minor verzió eltérés simán jelenthet olyan eltérést, hogy egyikben patcheltek egy hibát a másikban nem.

Erre te jössz egy olyan ökoszisztémával, ahol arra veritek, hogy a 90+%-án ugyanaz a kernelverzió fut. Melyik a nagyobb támadási felület szerinted?

trey @ gépház

Ühüm.

Állítottad, hogy aki

random gyártó random telefonján random Androidot és benne random gyártó random verziójú webböngészőjét, valamint random gyártó random tabletjén random Android-ot és random gyártó random gépén random kernelverziójú random Linux disztribúciót használ,

az pont olyan sebezhető, mint aki telefonján, tabletjén és gépén ugyanazon sebezhetőségben érintett iOS/iPadOS/macOS-t használ.

Erre te beleálltál a "random gyártó random telefonján random Androidot és benne random gyártó random verziójú webböngészőjét, valamint random gyártó random tabletjén random Android-ot és random gyártó random gépén random kernelverziójú random Linux disztribúciót használ"-ból a "random gyártó random verziójú webböngészőjét" részbe.

😂

trey @ gépház

Zárjuk rövidre. Melyik setupra "olcsóbb" (egyszerűbb, könnyebb) exploitot gyártani? Melyik setup esetén lesz több áldozat egy 0day exploit(lánc) automatikus terítése esetén?

Tehát, melyik forgatókönyv esetében vagy nagyobb biztonságban?

trey @ gépház

Közös szoftver stacket könnyebb összetörni, cserébe sokkal tovább is támogatja az apple az usereit.

Előnye meg hátránya is van.

De ezt már mind megbeszéltük. Az, hogy neked sport ebben a komplex kérdésben valami rövid véleményt mondani, nehezitő körülmény. Pl. hiába próbáltam beszélgeteni arról hogy mi az a beágyazott webview, nem érdekelt, pedig vastagon releváns.

Közös szoftver stacket könnyebb összetörni, cserébe sokkal tovább is támogatja az apple az usereit.

Az egyik egy biztonsági kérdés, a másik meg inkább gazdasági, ugyanis mindig lehet "vásárolni" aktuális támogatással rendelkező Android telefont, Android tabletet, Linuxot futtató laptopot. 

Almát hasonlítasz körtével.

A WebView-os maszatolásod persze, hogy nem érdekelt, mert a teljes képet nézve csak egy faszomnyi része az egésznek, de te red herring-nek használtad.

trey @ gépház

Informatikai portált üzemeltetsz, az informatika mellé jó cseng a biztonság szó.

Kínai telefonod van, ha azon gyártói kernel van kaphatsz Te bármilyen frissítést az androidra a google -től  nyakig ülsz a szarban :D

IGEN, pagazus bebaszott, nem vagyok érintett 

sudo mount -o ro /hup.hu

( dcsaba v | 2022. 08. 18., cs – 14:13 )

Szerkesztve: 2022. 08. 18., cs – 14:13

...a másik pedig egy kernel hiba

Az ilyen nem lesz javítva csak a flagship samsung és a google telefonokon XD kb 1% -a az android telepítéseknek

sudo mount -o ro /hup.hu

( tigrincs | 2022. 08. 18., cs – 17:06 )

"a másodikat kihasználva pedig root jogokhoz futhat" wut?

( gazsiazasz | 2022. 08. 31., sze – 20:14 )

Megjelent az iOS 12.5.6, hogy vannak a 9 éves android telefonok?

Utánanéztem. A Galaxy SII az neked nem jó, mert az 11 éves. -> Az S4 viszont 2013 márciusi. Tessék:

https://download.lineageos.org/jfltexx

11-es android van rá, az utolsó kiadás mai. De való igaz, nem gyártói a támogatás.

 

Azért megkérdezném, hogy hány olyan apple használó van mondjuk ebbe a szálban, aki _valóban_ 9 éves almát rohaszt a zsebében?

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

almat max 5-6 evig szoktak hasznalni, az is inkabb tablet mint telefon. en en pl. 2-3 evente lecserelem es a regi megy a szuloknek, naluk is elmegy par evig meg egy akkucsere utan.

de nekem pl. a 4 eves huawei tabletemre mar legalabb 1 eve nincs semmi update, es meg 7-es az utolso android ra. pedig amugy eros hw es tokeletesen mukodik, nem dobnam meg ki...

Ezt a dolgot a vásárlók 99%-a nem tudja hogy a hajára kenheti vagy megeheti-e, sőt, még csak nem is hallott róla.

Ráadásul csökkentett funkcionalitást kapsz, mert a banki appok jó eséllyel besirnak majd.

Szóval ha a Földet azzal próbáljuk megmenteni hogy néhány Józsika xda ROM-okat gyárt pár telefonhoz, attól halvány sikereket várhatunk el.

 

Jó lenne ha csak messziről is ugyanazt a támogatást megkapná egy android telefon a gyártótól, könnyen használhatóan és hivatalosan, de sajnos erről még csak nyomokban sem beszélhetünk.

Tehát jól értem és te 9 éves Apple telefonnal járkálsz? Mert különben mindegy, hogy ad-e a gyártó FW-frissítést vagy nem a senki által nem használt telefonhoz.

(Amúgy baromi uncsi ezeket a köröket újra-meg-újra megfutni. Mi a pék f-ért nem lehet elfogadnotok, hogy ti almát használtok, más meg mást?)

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Tehát jól értem és te 9 éves Apple telefonnal járkálsz?

Nekem SE 2020-am van, igy tudom hogy ha mindenben megfelel majd a jövőben is, akkor nem kell majd eldobnom. Hugomnak 1st gen SE -je van, amit használtan kapott családon belül, az van vagy 6 éves.. ami nem 9, de még lehet annyi is.

 

Mi a pék f-ért nem lehet elfogadnotok, hogy ti almát használtok, más meg mást?

Abszolút elfogadja mindenki, de ha te beállitod a lineageos -t mint apple-lel egyenértékű támogatást, azt meg kell challengelni, mert nem igaz.

A lineageOS tök jó, de tudni kell a határait, és a kondiciókat, meg hogy egyáltalán eleve csak a telefon geekek jutnak hozzá. Az hogy challengeljük az android vendorok elégtelen szoftvertámogatását, azt jelenti, hogy ha ezen igényeknek megfelelnek, még meg is vennénk őket ... én legalábbis. Nekem két dolog kellene az androidba: több privacy feature, és hosszabb támogatás. Nem vagyok apple fanboy, csak a minőséget választottam. Változhat a jövőben, hogy mi számit annak.

>> De való igaz, nem gyártói a támogatás.

> ha te beállitod a lineageos -t mint apple-lel egyenértékű támogatást,

Nem, nem állítottam olyat. Annyit állítottam, hogy _bizonyos_ androidos eszközökhöz még lehet találni relatív friss szoftvert. Viszont míg a nejem 4 éve még használta LineageOS-szel az (akkor kb 7 éves) SGS2-t, addig itt senki nem jelentkezett a 9 éves iOS-es telefon használójaként. Szóval nekem a messziről jött ember azt mond amit akar, előbbit már láttam élőben, utóbbiról még hallomásból sincs tudomásom.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Viszont míg a nejem 4 éve még használta LineageOS-szel az (akkor kb 7 éves) SGS2-t, addig itt senki nem jelentkezett a 9 éves iOS-es telefon használójaként.
 

Szóval a feleséged 4 éve még használt valami 7 éves, buherált szart, de a 6 éves gyári iPhone az nem elég meggyőző számodra, mert abból 9 éves példát akarsz.

:'DDD

Mi a pék f-ért nem lehet elfogadnotok, hogy ti almát használtok, más meg mást?

Én személy szerint leszarom, hogy ki mit használ, de általában ezen az oldalon tapasztalatom szerint többen fikázzák (többnyire jogtalanul) az almát, mint az almások az Androidot. Ebben a topicban is, de nagyjából talán érthető, ha már a topiccím is egy Apple sérülékenység.