Apple v tichosti stáhl svou nejnovější zero-day aktualizaci – co s tím?

Paul Ducklin, bezpečnostní expert ve společnosti Sophos

Podle Betteridgeova zákona o novinových titulcích lze na jakýkoli titulek obsahující otázku okamžitě odpovědět jednoduchým „Ne“. Teorie, která stojí za tímto vtípkem (ve skutečnosti se nejedná o zákon, ani pravidlo, vlastně ani o nic víc než námět k zamyšlení), zřejmě spočívá v tom, že kdyby autor věděl, o čem mluví, a měl skutečné důkazy na podporu svého tvrzení, napsal by titulek jako jednoznačný fakt. My v Naked Security nejsme novináři, takže nás tento zákon naštěstí neomezuje.

Nemilosrdná odpověď na naši vlastní otázku v titulku výše zní: „Nikdo kromě Applu to neví a Apple k tomu nic neříká“. Možná lepší, ale vpravdě neuspokojivá, odpověď zní: „Počkejte a uvidíte“.

Rychlá reakce

Tento příběh začal pozdě večer 10. 7. 2023, kdy jsme vzrušeně sepsali doporučení o historicky druhé rychlé bezpečnostní reakci (Rapid Security Response, RSR) společnosti Apple.

Tyto RSR jsou, jak jsme vysvětlovali dříve, snahou společnosti Apple poskytovat mimořádné opravy dílčích problémů stejně rychle, jako to obvykle dělají dobře spravované open source projekty, kde tzv. zero-day záplaty často vycházejí do jednoho nebo dvou dnů od zjištění problému, přičemž opravy takových aktualizací následují okamžitě, pokud další zkoumání odhalí více problémů, které je třeba řešit.

Jedním z důvodů, proč mohou open source projekty uplatňovat tento přístup, je fakt, že obvykle existuje webová stránka s možností stažení úplného zdrojového kódu všech oficiálně vydaných verzí. Takže pokud spěcháte s nasazením nejnovějších oprav v řádu hodin, nikoli dnů nebo týdnů, a ty se neosvědčí, nic vám nebrání v možnosti vrátit se k předchozí verzi, dokud nebude hotová oprava pro tu nejnovější.

Oficiální cestou aktualizací softwaru Apple, přinejmenším pro mobilní zařízení, bylo ale vždy dodávání kompletních záplat na úrovni systému, které nelze nikdy vrátit zpět. Důvodem je, že se Applu nelíbí možnost, že by uživatelé záměrně downgradovali své systémy, aby využili staré chyby za účelem jailbreaku (tedy „odemknutí“ vlastních zařízení, které dovolí zasahovat do souborového systému a instalovat různé aplikace, které nebyly schváleny vývojářskými podmínkami Apple) nebo instalace alternativních operačních systémů.

Takže i když Apple vydal nouzové opravy bezpečnostních mezer nultého dne, které již byly aktivně zneužívány, musel přijít s něčím, co bylo v podstatě jednosměrným upgradem (a uživatelé museli věřit, že to tak bude), přestože by k opravě jasného a aktuálního nebezpečí stačila minimalistická aktualizace jediné součásti systému.

Proces RSR umožňuje rychlé záplatování, s možností spěšné instalace, která nevyžaduje, abyste telefon na 15 až 45 minut odpojili a opakovaně restartovali. Záplaty by navíc mělo být možné později odstranit (a opakovaně nainstalovat a odstranit), pokud se rozhodnete, že oprava byla horší než riziko.

Chyby dočasně opravené prostřednictvím RSR budou trvale opraveny v příští plné verzi, aby RSR nepotřebovaly nebo nedostaly zcela nové vlastní číslo verze. Místo toho se k nim připojí pořadové písmeno, takže první rychlá bezpečnostní reakce pro iOS 16.5.1 (která vyšla 10. 7. 2023) se zobrazí v Nastavení > Obecné > Informace jako 16.5.1 (a).

Nevíme, co se stane, pokud posloupnost někdy překročí označení písmenem (z), ale jsme ochotni si vsadit na to, že odpověď bude (aa), nebo možná (za), pokud je abecední řazení považováno za důležité.

Dnes tu a zítra pryč

Každopádně, jen pár hodin poté, co jsem všem doporučil, aby aktualizovali na iOS a iPadOS 16.5.1 (a), protože opravuje zero-day zranitelnost v kódu Apple WebKit, která by mohla být téměř jistě zneužita k malwarovým útokům, jako je implantace spywaru nebo získávání soukromých dat z telefonu, se tato aktualizace již nezobrazuje, když se pokusíte aktualizovat své zařízení pomocí volby Nastavení > Obecné > Aktualizace softwaru. Zvláštní poděkování patří Johnu Michaelu Lesliemu, který to na našem Facebooku ve svém příspěvku ohlásil.

Na vlastním bezpečnostním portálu společnosti Apple jsou (v okamžiku tvorby tohoto textu) stále uvedeny nejnovější aktualizace jako macOS 13.4.1 (a) a iOS/iPadOS 16.5.1 (a), datované k 10. 7. 2023, bez poznámek o tom, zda byly oficiálně pozastaveny, nebo ne. Zprávy webu MacRumors ale naznačují, že aktualizace byly prozatím staženy.

Jedním z předpokládaných důvodů je, že prohlížeč Safari od Applu se nyní v požadavcích na webová spojení identifikuje pomocí řetězce User-Agent, který ve svém čísle verze obsahuje doplněk (a).

Když jsme v aktualizovaném prohlížeči Safari v systému iOS namířili na naslouchající socket TCP, viděli jsme toto (pro lepší čitelnost formátováno se zalomením řádků):

Podle některých komentátorů serveru MacRumors řetězec „Version/“, který se skládá z obvyklých čísel a teček a podivného a neočekávaného textu v kulatých závorkách, mate některé webové stránky.

Ironií je, že všechny weby, které doplatily na toto zjevně zmatené označení verze, představují služby, ke kterým se mnohem častěji přistupuje pomocí specializovaných aplikací než prostřednictvím prohlížeče. Ale teoreticky to vypadá, že je překvapí, pokud se rozhodnete navštívit je s aktualizovanou verzí Safari s identifikátorem verze 16.5.2 (a).

Co se dá dělat?

Přesněji řečeno, jen Apple ví, co se právě děje, a nic nám o tom neříká. Alespoň ne oficiálně prostřednictvím svého bezpečnostního portálu (HT201222) nebo stránky O rychlých bezpečnostních reakcích (HT201224).

Pokud už tuto aktualizaci máte, doporučujeme ji neodstraňovat, pokud vám skutečně nebrání v používání telefonu s webovými stránkami nebo aplikacemi, které potřebujete k práci, nebo pokud vám vaše vlastní oddělení IT výslovně neřekne, abyste se vrátili k verzi macOS, iOS nebo iPadOS, která nemá označení „a“. Koneckonců, tato aktualizace byla považována za vhodnou pro rychlou reakci, protože zranitelnost, kterou opravuje, je bezpečnostní mezera v prohlížeči pro vzdálené spuštění kódu (RCE).

Pokud potřebujete nebo chcete RSR odstranit, můžete tak učinit následovně:

► Pokud máte iPhone nebo iPad, přejděte do Nastavení > Obecné > Informace > Verze iOS/iPadOS a vyberte možnost Odebrat bezpečnostní reakci.

► Pokud máte Mac, přejděte do Nastavení systému > Obecné > O systému a klikněte na ikonu (i) na konci položky s názvem macOS Ventura.

My jsme RSR hned nainstalovali na macOS Ventura 13.4.1 a iOS 16.5.1 a neměli jsme žádné problémy s procházením našich obvyklých webových stránek přes Safari nebo Edge. Nezapomeňte, že v mobilních zařízeních Apple používají všechny prohlížeče WebKit. Proto nemáme v úmyslu aktualizaci odstranit a nechceme to udělat ani experimentálně, protože netušíme, zda ji budeme moci poté znovu nainstalovat. Komentátoři naznačují, že se záplata jednoduše nenahlásí, když se o to pokusíte z nezáplatovaného zařízení. Ale nezkoušeli jsme znovu zazáplatovat dříve záplatované zařízení, abychom zjistili, zda se tím získá možnost aktualizaci opětovně načíst.

Jednoduše řečeno:

► Pokud jste si již stáhli macOS 13.4.1 (a) nebo iOS/iPadOS 16.5.1 (a), ponechte si aktualizaci, pokud se jí nutně nemusíte zbavit, protože vás chrání před zero-day bezpečnostní mezerou.

► Pokud jste ji nainstalovali a opravdu ji potřebujete nebo chcete odstranit, podívejte se na naše pokyny výše. Ale předpokládejte, že ji později nebudete moci znovu nainstalovat, a proto se zařadíte do třetí kategorie níže.

► Pokud ji ještě nemáte, sledujte vývoj. Předpokládáme, že záplata (a) bude rychle nahrazena záplatou (b), protože celá myšlenka těchto „aktualizací s písmenky“ spočívá v tom, že mají být rychlou reakcí. Jistě to ale ví jen Apple.

Naše obvyklé předchozí rady doplníme slovy: Neotálejte a aktualizujte, jakmile vám to Apple a vaše zařízení umožní.  (12.7.2023)