Apple släpper iOS 12.3, macOS Mojave 10.14.5 och fler säkerhetsuppdateringar
Den här veckan släppte Apple uppdateringar till alla sina operativsystem och Safari för Mac. Här är en kort översikt över nya funktioner och säkerhetsrelaterade korrigeringar som ingår i varje uppdatering.
iOS 12.3
Den här uppdateringen inkluderar stöd för AirPlay 2-aktiverade TV-apparater, har en omdesignad Apple TV-app och innehåller buggfixar och förbättringar. Den innehåller också 42 säkerhetsfixar. Några av höjdpunkterna:
Låsskärm
Effekt: En person med fysisk åtkomst till en iOS-enhet kan se e-postadressen som används för iTunes
Beskrivning: Ett logiskt problem åtgärdades med förbättrade begränsningar.
Kontakter
Effekt: Ett skadligt program kan läsa begränsat minne
Beskrivning: Ett ingångsvalideringsproblem åtgärdades med förbättrad ingångsvalidering.
Post
Effekt: Bearbetning av ett skadligt meddelande kan leda till en förnekelse av tjänsten
Beskrivning: Ett ingångsvalideringsproblem åtgärdades med förbättrad ingångsvalidering.
MobileLockdown
Effekt: Ett skadligt program kan få root-behörigheter
Beskrivning: Ett ingångsvalideringsproblem åtgärdades med förbättrad ingångsvalidering.
Förvaring av foton
Effekt: En sandbox-process kan eventuellt kringgå sandbox-begränsningar
Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare begränsningar av sandlådan.
Wi-Fi
Effekt: En enhet kan spåras passivt av sin WiFi MAC-adress
Beskrivning: Ett problem med användarens sekretess åtgärdades genom att radera MAC-adressen för sändning.
Inkluderade var bland annat 3 kärnfixar och 21 WebKit-fixar. Sammantaget behandlades en stor mängd CVE i denna uppdatering, så det rekommenderas att installera det förr snarare än senare.
Den fullständiga listan över adresserade säkerhetsfrågor hittar du här. iOS 12.3 kan laddas ner över luften genom att gå till inställningar > Allmän > Programuppdatering. Du kan också ansluta din iOS-enhet till din Mac (eller Windows PC) och installera uppdateringen via iTunes-appen.
iOS 12 (inklusive 12.3) är kompatibel med iPhone 5s och senare, iPad Air och senare och iPod touch 6: e generationen. Äldre enheter som inte kan köra iOS 12 får inte längre kritiska säkerhetsuppdateringar.
I synnerhet, Apple har fortfarande inte tagit upp iOS Safari-problemet som gör att någon kan skicka falska nyhetsrubriker till andra iMessage-användare.
tvOS 12.3
Den här uppdateringen för Apple TV 4K och Apple TV HD – tidigare känd som Apple TV (4: e generationen) – innehåller allmänna förbättringar av prestanda och stabilitet och en ny Apple TV-app. En summa av 35 säkerhetsfrågor adresserades, som alla behandlades i iOS 12.3; kärna, WebKit och Wi-Fi hade alla gjort lite arbete för att göra dem säkrare.
Den fullständiga listan över adresserade säkerhetsfrågor hittar du här. TvOS-uppdateringen kan laddas ner direkt från Apple TV genom att gå till inställningar > Systemet > Uppdatera mjukvara.
Apple TV-programvara 7.3
Oväntat fick den gamla Apple TV (tredje generationen), som Apple sålde från 2012 till 2016, också en programuppdatering. Uppdateringen ingår bara 3 säkerhetsfixar: en för Bluetooth och två för Wi-Fi.
Den mycket korta listan över säkerhetsfrågor som tas upp finns här. Du kan ladda ner och installera uppdateringen genom att gå till inställningar > Systemet > Programuppdatering > Uppdatera mjukvara.
watchOS 5.2.1
watchOS fick några nya urtavlor och allt annat arbete utfördes i form av säkerhetsfixar. En summa av 21 säkerhetsfrågor fixades, och som man kan förvänta sig är dessa desamma som de som behandlas i iOS och tvOS (så många som tillämpas på Apple Watch-operativsystemet).
Den nya watchOS kan installeras genom att ansluta klockan till laddaren och sedan öppna iPhone Apple Watch-appen > Min klocka > Allmän > Programuppdatering.
Observera att den ursprungliga raden på Apple Watch (smeknamnet Series 0) inte längre får säkerhetsuppdateringar och fastnar med watchOS 4.3.2 som släpptes i juli 2018.
Safari 12.1.1
Den senaste versionen av Safari för Mac – tillgänglig för macOS High Sierra och Sierra-användare och ingår i macOS Mojave 10.14.5 – ger några felkorrigeringar och förbättringar som förbättrar den totala säkerheten; 21 säkerhetsfrågor adresserades, som alla är för WebKit.
Den fullständiga listan över adresserade säkerhetsfrågor hittar du här. För macOS High Sierra och Sierra-användare kan den nya Safari 12.1.1 laddas ner via Uppdateringar fliken i App Store. För macOS Mojave-användare ingår det i macOS 10.14.5.
macOS Mojave 10.14.5, säkerhetsuppdatering 2019-003 High Sierra, säkerhetsuppdatering 2019-003 Sierra
Sist men inte minst fick macOS några uppdateringar: säkerhetsuppdateringar för Sierra- och High Sierra-användare och en säkerhets-plus-funktionsuppdatering för Mojave-användare. Uppdateringen för Mojave innehåller följande förbättringar och korrigeringar av operativsystemet:
- Lägger till AirPlay 2-stöd för att dela videor, foton, musik och mer från din Mac direkt till din AirPlay 2-aktiverade smart-TV.
- Lägger till möjligheten att följa en tidning från bläddringsvyn Apple News + -katalog (endast tillgänglig i USA och Kanada).
- Förbättrar ljudfördröjningen på MacBook Pro-modeller som introducerades 2018.
- Åtgärdar ett problem som hindrade vissa mycket stora OmniOutliner- och OmniPlan-dokument från att återges korrekt.
- Inaktiverar tillbehör med osäkra Bluetooth-anslutningar.
- Åtgärdar ett problem som förhindrade återställning av lösenordet för användarkontot från inloggningsfönstret efter att ha använt en personlig återställningsnyckel (PRK) för att låsa upp FileVault-volymen.
- Åtgärdar ett problem som hindrade InstalledApplicationList MDM-kommandot från att känna igen att uppdateringar är tillgängliga för appar installerade via VPP.
Naturligtvis finns det också säkerhetsrelaterade korrigeringar: 51 säkerhetsuppdateringar för att vara exakt. Dessa inkluderar:
Application Firewall
Tillgänglig för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Effekt: Ett program kanske kan köra godtycklig kod med kärnprivilegier
Beskrivning: Ett logiskt problem åtgärdades med förbättrade begränsningar.DesktopServices
Tillgänglig för: macOS Mojave 10.14.4
Effekt: Ett skadligt program kan kringgå Gatekeeper-kontroller
Beskrivning: Problemet åtgärdades med förbättrade kontroller.EFI
Tillgänglig för: macOS Mojave 10.14.4
Effekt: En användare kan oväntat vara inloggad på en annan användares konto
Beskrivning: Ett autentiseringsproblem åtgärdades med förbättrad tillståndshantering.StreamingZip
Tillgänglig för: macOS Mojave 10.14.4
Effekt: En lokal användare kanske kan ändra skyddade delar av filsystemet
Beskrivning: Ett valideringsproblem fanns vid hanteringen av symlänkar. Problemet åtgärdades med förbättrad validering av symlänkar.Touch Bar Support
Tillgänglig för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: En applikation kanske kan köra godtycklig kod med systembehörigheter
Beskrivning: Ett problem med minnesskada åtgärdades med förbättrad minneshantering.
Mojave-uppdateringen innehåller helt ny mikrokod (genom en EFI-firmwareuppdatering) för att mildra spekulativa körningssår i Intel-processorer. Du kanske kommer ihåg att Spectre och Meltdown var spekulativa exekveringsutnyttjande, vilket följdes av Foreshadow-NG (behandlat i macOS Mojave 10.14.1), och nu finns det en ny attack som heter ZombieLoad (diskuterad i avsnitt 83 av Intego Mac Podcast). Mer om uppdateringens mikrokodinnehåll finns i Apples dokumentation här. Anmärkningsvärt kommer användarna att behöva aktivera fullständig minskning manuellt genom en manuell process om de väljer att göra det. det kan orsaka upp till 40% minskning av systemprestanda för vissa uppgifter, och eftersom sårbarheten inte är känd för att utnyttjas i naturen ännu, möjliggör inte Apple fullständig mildring som standard. Håll dig uppdaterad om en Intego-artikel om ZombieLoad för mer information.
Den fullständiga listan över säkerhetsproblem som tas upp för macOS finns här. Användare av macOS Mojave, High Sierra och Sierra kan installera uppdateringarna via Apple-meny > Systeminställningar… > Programuppdatering.
iTunes Device Support Update
macOS-användare kan också se en uppdatering av iTunes Device Support i sin lista över tillgängliga programuppdateringar. Listad som en uppdatering som säkerställer korrekt uppdatering och återställning för iOS-enheter med iTunes för Mac, inga ytterligare uppgifter tillhandahålls av Apple, så vad den här uppdateringen gör exakt är för närvarande okänd. Inga säkerhetsrelaterade korrigeringar nämns för den här uppdateringen.
Säkerhetskopiera dina Mac och iOS-enheter innan du uppdaterar
Oavsett om du använder iOS eller macOS, säkerhetskopiera alltid dina data innan du installerar några uppdateringar. Detta ger dig en återställningspunkt om något inte går som planerat.
Se även vår relaterade artikel om att kontrollera dina macOS-säkerhetskopior:
Hur du verifierar att dina säkerhetskopior fungerar korrekt
Hur kan jag lära mig mer?
Integos experter diskuterade ZombieLoad och andra stora säkerhetsproblem i veckans avsnitt 83 av Intego Mac Podcast. Var noga med att prenumerera så att du aldrig missar det senaste avsnittet. Du vill också prenumerera på vår e-post nyhetsbrev och håll ett öga här Mac-säkerhetsbloggen för uppdateringar.
Du kan också följa Intego på dina favorit- och mediekanaler: Facebook, Instagram, Twitter och YouTube (klicka på? För att få meddelande om nya videor).
Om Mike Jones
Mike Jones är en IT-konsult med en passion för Mac-säkerhetsforskning. Han utför oberoende skyddstester mot skadlig kod och skriver också om sekretess och säkerhetsrelaterade frågor på sin blogg Security Spread. Följ honom på Twitter på @SecuritySpread. Visa alla inlägg av Mike Jones → Detta inlägg postades i Säkerhet och sekretess och taggades Säkerhetsuppdateringar. Bokmärk permalänken.
