Den här veckan släppte Apple återigen uppdateringar till alla deras operativsystem och till webbläsaren Safari. En av de nolldagars säkerhetsbrister som korrigerades gjorde att skadlig programvara kunde ta skärmdumpar på infekterade Mac-datorer. Skadlig programvara, som heter XCSSET, visade sig aktivt utnyttja denna sårbarhet i naturen.
XCSSET upptäcktes i slutet av förra året och riktar sig till Mac-utvecklare genom att infektera Xcode-projekt och använda dem för att spridas genom Github-förråd.
De goda nyheterna för VirusBarrier-användare är att du har blivit skyddad från XCSSET skadlig programvara medan Apple kämpade för att implementera dessa korrigeringar.
iOS 14.6 och iPadOS 14.6
Tillgänglig för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare, och iPod touch (7:e generationen)
Nya funktioner, funktionalitet och buggfixar inkluderar:
- Apple Card kan delas med upp till fem personer, inklusive alla som är 13 år eller äldre i din familjedelningsgrupp
- Lost mode-alternativ för att lägga till en e-postadress istället för ett telefonnummer för AirTag och Hitta mitt nätverkstillbehör
- Lås upp med Apple Watch kanske inte fungerar efter att ha använt Lock iPhone på Apple Watch
- Bluetooth-enheter kan ibland koppla från eller skicka ljud till en annan enhet under ett aktivt samtal
Med den senaste uppdateringen för mindre än tre veckor sedan lyckades Apple fortfarande fixa 43 säkerhetsrelaterade problem. Här är några av dem:
Kärn tjänster
Effekt: En skadlig applikation kanske kan få root-privilegier
Beskrivning: Ett valideringsproblem fanns i hanteringen av symboliska länkar. Det här problemet åtgärdades med förbättrad validering av symboliska länkar.
ImageIO
Effekt: Bearbetning av en uppsåtligt skapad bild kan leda till avslöjande av användarinformation
Beskrivning: En out-of-bounds-läsning åtgärdades med förbättrad gränskontroll.
Kärna
Effekt: Ett skadligt program kanske kan exekvera godtycklig kod med kärnbehörighet
Beskrivning: Ett logiskt problem åtgärdades med förbättrad validering.
Post
Effekt: Bearbetning av ett uppsåtligt e-postmeddelande kan leda till oväntad minnesändring eller programavslutning
Beskrivning: En användning efter free problemet åtgärdades med förbättrad minneshantering.
Anteckningar
Effekt: En användare kanske kan se begränsat innehåll från låsskärmen
Beskrivning: Ett problem med fönsterhantering åtgärdades med förbättrad tillståndshantering.
Den fullständiga listan över säkerhetsproblem som åtgärdats finns här.
För att installera de senaste uppdateringarna, gå till inställningar > Allmän > Programuppdatering på din enhet. Du kan också ansluta din enhet till en Mac- eller Windows-dator och använda iTunes eller Finder (i macOS Catalina eller Big Sur) för att uppdatera den.
iOS 12 och 13
Inga uppdateringar gjordes tillgängliga för iOS 12 eller 13 igen. Eftersom problemen hittills har åtgärdats i iOS 14, rekommenderas inte fortsatt användning av dessa äldre iOS-versioner. Inga ytterligare uppdateringar, eller en dramatisk minskning av frekvensen av uppdateringar, för dessa äldre iOS-versioner förväntas i framtiden.
tvOS 14.6
Tillgänglig för: Apple TV HD och Apple TV 4K
Inga nya funktioner eller funktionalitet den här gången, bara de typiska prestanda- och stabilitetsförbättringarna. Naturligtvis finns det några säkerhetsrelaterade korrigeringar också, 26 av dem, varav de flesta är desamma som de som tas upp i iOS och iPadOS 14.6.
Den fullständiga listan över säkerhetsproblem som åtgärdats finns här.
TVOS-uppdateringen kan laddas ner direkt från Apple TV genom att gå till inställningar > Systemet > Uppdatera mjukvara.
watchOS 7.5
Tillgänglig för: Apple Watch Series 3 och senare
watchOS 7.5 innehåller nya funktioner, förbättringar och buggfixar:
- Tillgång till prenumerationsinnehåll i Podcasts-appen
- Apple Card låter medlemmarna spåra utgifter, hantera utgifter och bygga kredit tillsammans med en familjedelningsgrupp
- Stöd för EKG-appen på Apple Watch Series 4 eller senare i Malaysia och Peru
- Stöd för aviseringar om oregelbunden hjärtrytm i Malaysia och Peru
Totalt 25 säkerhetsfrågor behandlades. De flesta av dem är samma som de som tas upp i iOS 14.6, iPadOS 14.6 och tvOS 14.6.
Den fullständiga listan över säkerhetsproblem som åtgärdats finns här.
För att installera den här uppdateringen, se till att din iPhone är uppdaterad först, både din telefon och klockan är anslutna till samma Wi-Fi-nätverk och att klockan har minst 50 % laddning. Öppna sedan Watch-appen på din telefon och tryck på Allmän > Programuppdatering.
watchOS 6
Som med äldre versioner av iOS har watchOS 6 inte dragit nytta av den här omgången av säkerhetsuppdateringar. Detta gör fortsatt användning av det äldre operativsystemet något att ompröva.
macOS Big Sur 11.4
macOS Big Sur 11.4 lägger till Apple Podcasts-prenumerationer och kanaler och inkluderar viktiga buggfixar.
Podcasts
- Apple Podcasts-prenumerationer finns att köpa via månads- och årsprenumerationer
- Kanaler grupperar samlingar av program från poddskapare
Den här versionen åtgärdar även följande problem:
- Bokmärken i Safari kan ordnas om eller flyttas till en mapp som kan visas dold
- Vissa webbplatser kanske inte visas korrekt efter att din Mac har vaknat ur viloläge
- Nyckelord kanske inte inkluderas när du exporterar ett foto från appen Foton
- Förhandsgranskningen kan sluta svara när du söker i PDF-dokument
- 16-tums MacBook kan sluta svara när du spelar Civilization VI
Sedan finns det säkerhetsfixarna, 73 totalt, vilket gör detta till en betydande uppdatering. här är några av höjdpunkterna:
App Store
Effekt: Ett skadligt program kanske kan bryta sig ur sin sandlåda
Beskrivning: Ett problem med sökvägshantering åtgärdades med förbättrad validering.Docka
Effekt: En skadlig applikation kan komma åt en användares samtalshistorik
Beskrivning: Ett åtkomstproblem åtgärdades med förbättrade åtkomstbegränsningar.Inloggningsfönster
Effekt: En person med fysisk tillgång till en Mac kanske kan kringgå inloggningsfönstret
Beskrivning: Ett logiskt problem åtgärdades med förbättrad tillståndshantering.Programuppdatering
Effekt: En person med fysisk åtkomst till en Mac kanske kan kringgå inloggningsfönstret under en programuppdatering
Beskrivning: Det här problemet åtgärdades med förbättrade kontroller.TCC
Effekt: Ett skadligt program kanske kan kringgå integritetsinställningarna. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett behörighetsproblem åtgärdades med förbättrad validering.
Detta är nolldagarssårbarheten som XCSSET skadlig programvara utnyttjade.
Den fullständiga listan över säkerhetsproblem som åtgärdats finns här.
För att få den här uppdateringen, besök fönstret Programuppdatering i Systeminställningar (Äppelmeny > Systeminställningar… > Programuppdatering).
Säkerhetsuppdatering 2021-003 Catalina
Den senaste säkerhetsuppdateringen för macOS Catalina innehåller 48 säkerhetskorrigeringar och är desamma som de som finns i den senaste Big Sur-uppdateringen.
Den fullständiga listan över säkerhetsproblem som åtgärdats finns här.
För att få den här uppdateringen, besök fönstret Programuppdatering i Systeminställningar (Äppelmeny > Systeminställningar… > Programuppdatering)
Denna säkerhetsuppdatering är ännu inte tillgänglig på Apples nedladdningswebbplats i skrivande stund.
Säkerhetsuppdatering 2021-004 Mojave
Den senaste säkerhetsuppdateringen för Mojave innehåller 42 säkerhetsfixar och är desamma som de som finns i den senaste Big Sur-uppdateringen.
Den fullständiga listan över säkerhetsproblem som åtgärdats finns här.
För att få den här uppdateringen, besök fönstret Programuppdatering i Systeminställningar (Äppelmeny > Systeminställningar… > Programuppdatering)
Denna säkerhetsuppdatering är ännu inte tillgänglig på Apples nedladdningswebbplats i skrivande stund.
Det är värt att notera att ramverket Transparency Consent and Control (TTC), som patchades i Big Sur för att mildra XCSSET-skadlig programvara, inte patchades i macOS Catalina eller Mojave. Catalina fick en TTC-patch som inte var relaterad till skadlig programvara och Mojave fick inga TTC-korrigeringar alls. Eftersom dessa två tidigare macOS-versioner fortfarande stöds med säkerhetsuppdateringar, kan vi bara anta att skadlig programvara inte kunde utnyttja ramverket på samma sätt som det gjorde på Big Sur.
Ändå kan användare av dessa tidigare macOS-versioner vilja anamma “better safe than sorry”-filosofin och ta VirusBarrier för extra skydd.
Safari 14.1.1
Tillgänglig för: macOS Catalina och macOS Mojave
Detta är en liten uppdatering för Mojave- och Catalina-användare som fixar 10 säkerhetsbrister.
För att få den här uppdateringen, besök fönstret Programuppdatering i Systeminställningar (Äppelmeny > Systeminställningar… > Programuppdatering). För Big Sur-användare är den senaste versionen av Safari inbyggd i 11.4-uppdateringen.
Oavsett om du använder iOS, iPadOS eller macOS, säkerhetskopiera alltid dina data innan du installerar några uppdateringar. Detta ger dig en återställningspunkt om något inte går som planerat.
Se även vår relaterade artikel om hur du kontrollerar dina macOS-säkerhetskopior:
Så här verifierar du att dina säkerhetskopior fungerar som de ska
Hur kan jag lära mig mer?
Varje vecka på Intego Mac Podcast, Integos Mac-säkerhetsexperter diskuterar de senaste Apple-nyheterna, säkerhets- och integritetsberättelser och ger praktiska råd om hur du får ut det mesta av dina Apple-enheter. Var säker på att följ podden för att se till att du inte missar några avsnitt.
Vi diskuterar dessa säkerhetsuppdateringar och mer i avsnitt 189 av Intego Mac Podcast.
Du kan också prenumerera på vår e-post nyhetsbrev och håll ett öga här Mac Säkerhetsblogg för de senaste nyheterna om Apples säkerhet och integritet. Och glöm inte att följa Intego på dina favoritkanaler för sociala medier: Facebook, Instagram, Twitter och YouTube.
Om Mike Jones
Mike Jones är en IT-konsult med en passion för Mac-säkerhetsforskning. Visa alla inlägg av Mike Jones → Det här inlägget postades i Säkerhetsnyheter och taggade Säkerhetsuppdateringar. Bokmärk permalänken.
