Patcha din Mac, människor och dina Apple -klockor och äldre iPhones, iPads och iPod Touches.
Apple släppte igår (26 september) en nöduppdatering för Mac för att åtgärda ett fel som skulle låta en "fjärranfallare … orsaka oväntad programavslutning eller godtycklig kodkörning."
På vanlig engelska betyder det att en hackare kan komma åt din Mac från internet och köra skadlig kod eller stänga av legitima program. Naturligtvis är det mycket dåligt.
Patcher utfärdades också igår för watchOS (5.3.2) och iOS 12 (12.4.2) för att åtgärda samma fel. Nya iPhones, iPads och iPods fick fixen förra veckan med lanseringen av iOS 13, men många äldre iOS -enheter, som iPhone 5s, 6 och 6 Plus, måste hålla sig till iOS 12.
Mac -patchar är för de tre senaste versionerna av macOS - 10.14 Mojave, 10.13 High Sierra och 10.12 Sierra - men du får inte ett nytt versionsnummer för din build. Äldre versioner av MacOS/OS X som inte stöds påverkas sannolikt också. (Om du fortfarande kör en av dem är det dags att uppdatera.)
Rensar upp ett mysterium
Apple säger inte mycket mer om bristen, förutom att det innebär "en out-of-bounds läsning [som] togs upp med förbättrad ingångsvalidering", upptäcktes av Google Project Zero-forskarna Samuel Groß och Natalie Silvanovich, och var tilldelade CVE-numret CVE-2019-8641.
Men det visar sig att sårbarheten går flera månader tillbaka och lämnades olöst långt efter att en liknande massa brister åtgärdades.
I morse (27 september) anslöt Sophos Paul Ducklin prickarna och kom på att det här är den sista av flera huvudsakligen iOS -brister som Groß och Silvanovich avslöjade under sommaren, och den enda av dessa brister som förblir oförklarliga och olästa för nästan två månader.
Du kanske kommer ihåg att det fanns ett antal fel i Apple -meddelanden som avslöjades i slutet av juli, vilket Apple mestadels åtgärdade med iOS 12.4. Några av bristerna skulle ha låtit hackare ta över iPhones helt enkelt genom att skicka ett speciellt utformat meddelande.
Som standardproceduren förklarade Project Zero -forskarna exakt hur buggarna fungerade efter att Apple utfärdat iOS 12.4. Men de höll tillbaka information om en brist eftersom de kände att iOS 12.4 inte helt fixade det.
"Vi håller inne CVE-2019-8641 fram till dess att tidsgränsen beror på att korrigeringen i rådgivningen inte löste sårbarheten", skrev Silvanovich på Twitter den 29 juli.
Mysteriefelet förblev oupptäckt i ytterligare två månader, även om Silvanovich och Groß tog sin forskning på vägen och presenterade sina resultat på Black Hat -säkerhetskonferensen i augusti, och när Apple uppdaterade iOS till version 12.4.1 och släppte ett "tillägg" uppdatering till macOS Mojave 10.14.6.
Slutligen, fullständigt avslöjande
Nu när allt verkligen är fixat är katten ur väskan. Silvanovich publicerade tyst information om CVE-2019-8641 på måndagen (23 september), efter lanseringen av iOS 13, i ett blogginlägg från Project Zero.
Hennes förklaring av sårbarheten är överskådlig för alla som inte är väl insatta i iOS interna funktioner, men hon noterade att "problemet ännu inte har åtgärdats för Mac och iPad, men är nu bara en lokal sårbarhet på grund av ändringen i 12.4 .1. "
Dessa lokala sårbarheter har förmodligen nu åtgärdats med iOS 12.4.2 -uppdateringen och macOS -patchar.
Bildkredit: blackzheep/Shutterstock