Emergency code execution patch fra Apple – men ikke en 0-dages

Ikke før var vi stoppet for at trække vejret efter at have gennemgået de seneste 62 patches (eller 64, afhængigt af hvordan du tæller) droppet af Microsoft på patch tirsdag...

…end Apples seneste sikkerhedsbulletiner landede i vores indbakke.

Denne gang var der kun to rapporterede rettelser: til mobile enheder, der kører den nyeste iOS eller iPadOS, og til Mac'er, der kører den seneste macOS-inkarnation, version 13, bedre kendt som Ventura.

For at opsummere, hvad der allerede er superkorte sikkerhedsrapporter:

• HT21304: Ventura bliver opdateret fra 13.0 til 13.0.1.
• HT21305: iOS og iPadOS bliver opdateret fra 16.1 til 16.1.1

De to sikkerhedsbulletiner viser nøjagtig de samme to fejl, fundet af Googles Project Zero-team, i et bibliotek kaldet libxml2, og officielt udpeget CVE-2022-40303 , CVE-2022-40304.

Begge fejl blev skrevet op med noter, der "en fjernbruger kan muligvis forårsage uventet appafslutning eller vilkårlig kodekørsel".

Ingen af ​​fejlene rapporteres med Apples typiske nul-dages ordlyd på den måde, at virksomheden "er klar over en rapport om, at dette problem kan være blevet aktivt udnyttet", så der er ingen antydning om, at disse fejl er nul-dage, i det mindste inde i Apples økosystem .

Men med kun to fejl rettet, bare to uger efter Apples sidste tranche af patches, måske troede Apple, at disse huller var modne til at blive udnyttet og skubbede dermed ud, hvad der i bund og grund er en en-bug patch, i betragtning af at disse huller dukkede op i den samme softwarekomponent?

Også i betragtning af, at parsing af XML-data er en funktion, der udføres bredt både i selve operativsystemet og i adskillige apps; i betragtning af at XML-data ofte kommer fra upålidelige eksterne kilder såsom websteder; og da fejlene officielt er udpeget som modne til fjernudførelse af kode, bruges typisk til fjernimplantering af malware eller spyware...

…måske Apple følte, at disse fejl var for generelt farlige til at lade dem stå uden opdatering i lang tid?

Mere dramatisk konkluderede Apple måske, at den måde, Google fandt disse fejl på, var tilstrækkelig indlysende til, at en anden let kunne falde over dem, måske uden egentlig at mene det, og begynde at bruge dem for dårligt?

Eller måske er fejlene blevet afsløret af Google, fordi nogen uden for virksomheden foreslog, hvor man skulle begynde at lede, og dermed antydede, at sårbarhederne allerede var kendt af potentielle angribere, selvom de endnu ikke havde fundet ud af, hvordan de skulle udnytte dem?

(Teknisk set er en endnu ikke-udnyttet sårbarhed, som du opdager på grund af bug-jagt-hint, plukket fra cybersikkerhedsvinen, faktisk ikke en nul-dag, hvis ingen har fundet ud af, hvordan man misbruger hullet endnu.)

Hvad skal jeg gøre?

Hvad end Apples grund til at skynde sig ud med denne mini-opdatering så hurtigt efter dens sidste patches, hvorfor vente?

Vi har allerede tvunget en opdatering på vores iPhone; downloadingen var lille, og opdateringen gik hurtigt og tilsyneladende problemfrit.

Brug Indstillinger > Generelt> softwareopdatering på iPhones og iPads, og Apples menu > Om denne Mac > Software opdatering… på Macs.

Hvis Apple følger op på disse patches med relaterede opdateringer til nogen af ​​sine andre produkter, giver vi dig besked.