Emergency Code Execution Patch von Apple – aber kein 0-Day

Kaum hatten wir angehalten, um zu Atem zu kommen, nachdem wir die neuesten 62 Patches (oder 64, je nachdem, wie Sie zählen) überprüft hatten. von Microsoft fallen gelassen am Patchday…

… als die neusten Sicherheitsbulletins von Apple in unserem Posteingang landeten.

Diesmal gab es nur zwei gemeldete Fixes: für mobile Geräte mit dem neuesten iOS oder iPadOS und für Macs mit der neuesten macOS-Inkarnation, Version 13, besser bekannt als Ventura.

Um zusammenzufassen, was bereits superkurze Sicherheitsberichte sind:

• HT21304: Ventura wird von 13.0 auf aktualisiert 13.0.1.
• HT21305: iOS und iPadOS werden von 16.1 auf aktualisiert 16.1.1

Die beiden Sicherheitsbulletins listen genau die gleichen zwei Schwachstellen auf, die von Googles Project-Zero-Team in einer Bibliothek namens „ libxml2, und offiziell bezeichnet CVE-2022-40303 und CVE-2022-40304.

Beide Fehler wurden mit Notizen aufgeschrieben, die „Ein Remote-Benutzer kann möglicherweise eine unerwartete App-Beendigung oder die Ausführung willkürlichen Codes verursachen“.

Keiner der Fehler wird mit der typischen Zero-Day-Formulierung von Apple gemeldet, in der Form, dass dem Unternehmen „ein Bericht bekannt ist, dass dieses Problem möglicherweise aktiv ausgenutzt wurde“, sodass es keinen Hinweis darauf gibt, dass es sich bei diesen Fehlern um Zero-Days handelt, zumindest innerhalb des Apple-Ökosystems .

Aber mit nur zwei behobenen Fehlern, nur zwei Wochen später Apples letzte Tranche von Patches, vielleicht dachte Apple, diese Lücken seien reif für die Ausnutzung und veröffentlichte daher einen Patch, der im Wesentlichen ein Fehler ist, da diese Lücken in derselben Softwarekomponente auftauchten?

Da das Analysieren von XML-Daten eine Funktion ist, die sowohl im Betriebssystem selbst als auch in zahlreichen Apps weit verbreitet ist; da XML-Daten häufig von nicht vertrauenswürdigen externen Quellen wie Websites stammen; und angesichts der Tatsache, dass die Fehler offiziell als reif für die Remote-Code-Ausführung bezeichnet werden, die normalerweise zum Implantieren von Malware oder Spyware aus der Ferne verwendet wird …

…vielleicht hatte Apple das Gefühl, dass diese Bugs zu gefährlich waren, um sie lange ungepatcht zu lassen?

Noch dramatischer, vielleicht kam Apple zu dem Schluss, dass die Art und Weise, wie Google diese Fehler gefunden hat, so offensichtlich war, dass jemand anderes leicht über sie stolpern könnte, vielleicht ohne es wirklich zu wollen, und anfangen könnte, sie für schlechte Zwecke zu verwenden?

Oder wurden die Fehler vielleicht von Google entdeckt, weil jemand von außerhalb des Unternehmens vorschlug, wo man mit der Suche beginnen sollte, was implizierte, dass die Schwachstellen potenziellen Angreifern bereits bekannt waren, obwohl sie noch nicht herausgefunden hatten, wie sie sie ausnutzen konnten?

(Technisch gesehen ist eine noch nicht ausgenutzte Schwachstelle, die Sie aufgrund von Bug-Hunting-Hinweisen entdecken, die aus der Cybersicherheits-Weinrebe stammen, eigentlich kein Zero-Day, wenn noch niemand herausgefunden hat, wie man die Lücke missbraucht.)

Was ist zu tun?

Was auch immer Apples Grund ist, dieses Mini-Update so schnell nach seinen letzten Patches herauszubringen, warum warten?

Wir haben bereits ein Update auf unserem iPhone erzwungen; Der Download war klein und das Update ging schnell und anscheinend reibungslos durch.

Verwenden Sie die Einstellungen > Allgemeines> Software-Update auf iPhones und iPads und Apple-Menü > Über diesen Mac > Software-Update… auf Macs.

Wenn Apple diese Patches mit verwandten Updates für eines seiner anderen Produkte fortsetzt, werden wir Sie darüber informieren.