Parche de ejecución de código de emergencia de Apple, pero no un día 0

Apenas nos detuvimos para recuperar el aliento después de revisar los últimos 62 parches (o 64, dependiendo de cómo se cuente) abandonado por Microsoft el martes de parches...

…que los últimos boletines de seguridad de Apple llegaron a nuestra bandeja de entrada.

Esta vez solo se informaron dos correcciones: para dispositivos móviles que ejecutan el último iOS o iPadOS, y para Mac que ejecutan la última encarnación de macOS, la versión 13, más conocida como Ventura.

Para resumir lo que ya son informes de seguridad súper cortos:

• HT21304: Ventura se actualiza de 13.0 a 13.0.1.
• HT21305: iOS y iPadOS se actualizan de 16.1 a 16.1.1

Los dos boletines de seguridad enumeran exactamente las mismas dos fallas, encontradas por el equipo Project Zero de Google, en una biblioteca llamada libxml2, y designado oficialmente CVE-2022-40303 y CVE-2022-40304.

Ambos errores fueron escritos con notas que “un usuario remoto puede causar la finalización inesperada de la aplicación o la ejecución de código arbitrario”.

Ninguno de los errores se informa con la redacción típica de día cero de Apple en el sentido de que la compañía "está al tanto de un informe de que este problema puede haber sido explotado activamente", por lo que no hay sugerencia de que estos errores sean de día cero, al menos dentro del ecosistema de Apple. .

Pero con solo dos errores corregidos, solo dos semanas después El último tramo de parches de Apple, ¿tal vez Apple pensó que estos agujeros estaban listos para ser explotados y, por lo tanto, eliminó lo que es esencialmente un parche de un solo error, dado que estos agujeros aparecieron en el mismo componente de software?

Además, dado que el análisis de datos XML es una función que se realiza ampliamente tanto en el propio sistema operativo como en numerosas aplicaciones; dado que los datos XML a menudo provienen de fuentes externas no confiables, como sitios web; y dado que los errores se designan oficialmente como maduros para la ejecución remota de código, generalmente se usan para implantar malware o spyware de forma remota...

…quizás Apple sintió que estos errores eran demasiado peligrosos para dejarlos sin parchear por mucho tiempo?

Más dramáticamente, ¿tal vez Apple concluyó que la forma en que Google encontró estos errores era lo suficientemente obvia como para que alguien más pudiera tropezar con ellos fácilmente, tal vez sin siquiera quererlo, y comenzar a usarlos para mal?

¿O tal vez Google descubrió los errores porque alguien externo a la empresa sugirió dónde comenzar a buscar, lo que implica que los atacantes potenciales ya conocían las vulnerabilidades aunque aún no habían descubierto cómo explotarlas?

(Técnicamente, una vulnerabilidad aún no explotada que descubre debido a las sugerencias de búsqueda de errores extraídas de la red de seguridad cibernética no es en realidad un día cero si nadie ha descubierto cómo abusar del agujero todavía).

¿Qué hacer?

Cualquiera que sea la razón de Apple para lanzar esta mini actualización tan rápido después de sus últimos parches, ¿por qué esperar?

Ya forzamos una actualización en nuestro iPhone; la descarga fue pequeña y la actualización se realizó rápidamente y aparentemente sin problemas.

Uso Ajustes > General> actualización de software en iPhones y iPads, y Menú Apple > Acerca de esta Mac > Actualización de software… en Mac.

Si Apple realiza un seguimiento de estos parches con actualizaciones relacionadas con cualquiera de sus otros productos, se lo haremos saber.