Hätäkoodin suorituskorjaus Applelta – mutta ei 0 päivää

Heti kun olimme pysähtyneet vetämään henkeä, kun olimme tarkastaneet viimeisimmät 62 korjaustiedostoa (tai 64, riippuen siitä, miten lasket) Microsoft pudotti Patch Tiistaina…

…kuin Applen uusimmat tietoturvatiedotteet saapuivat postilaatikkoomme.

Tällä kertaa raportoitu vain kaksi korjausta: mobiililaitteille, joissa on uusin iOS tai iPadOS, ja Mac-tietokoneille, joissa on uusin macOS-inkarnaatio, versio 13, joka tunnetaan paremmin nimellä Ventura.

Yhteenvetona siitä, mitkä ovat jo erittäin lyhyitä tietoturvaraportteja:

• HT21304: Ventura päivitetään 13.0:sta 13.0.1.
• HT21305: iOS ja iPadOS päivitetään 16.1:stä versioon 16.1.1

Kahdessa tietoturvatiedotteessa luetellaan täsmälleen samat kaksi virhettä, jotka Googlen Project Zero -tiimi löysi kirjastosta nimeltä libxml2ja virallisesti nimetty CVE-2022-40303 ja CVE-2022-40304.

Molemmat virheet kirjoitettiin muistiinpanoilla "etäkäyttäjä saattaa aiheuttaa odottamattoman sovelluksen sulkeutumisen tai mielivaltaisen koodin suorittamisen".

Kummastakaan bugista ei ole raportoitu Applen tyypillisellä nollapäivän sanamuodolla sen mukaan, että yritys "on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää", joten ei ole mitään viittausta, että nämä viat olisivat nollapäiväisiä, ainakaan Applen ekosysteemissä. .

Mutta vain kaksi bugia korjattu, vain kaksi viikkoa sen jälkeen Applen viimeinen erä korjaustiedostoja, kenties Apple ajatteli, että nämä reiät olivat kypsiä hyväksikäyttöön ja työnsi siten pois sen, mikä on pohjimmiltaan yhden virheen korjaustiedosto, koska nämä reiät ilmestyivät samaan ohjelmistokomponenttiin?

Lisäksi, koska XML-tietojen jäsentäminen on toiminto, jota suoritetaan laajalti sekä itse käyttöjärjestelmässä että useissa sovelluksissa; koska XML-tiedot tulevat usein epäluotettavista ulkoisista lähteistä, kuten verkkosivustoilta; ja koska virheet on virallisesti määritelty valmiiksi koodin etäsuorittamiseen, joita käytetään tyypillisesti haittaohjelmien tai vakoiluohjelmien etäkäyttöön...

…ehkä Applen mielestä nämä virheet olivat liian vaarallisia jättääkseen korjaamatta pitkäksi aikaa?

Dramaattisemmin ehkä Apple päätteli, että tapa, jolla Google löysi nämä virheet, oli riittävän ilmeinen, jotta joku muu saattoi helposti törmätä niihin, kenties ilman todellista tarkoitusta, ja alkaa käyttää niitä huonoon tarkoitukseen?

Tai kenties Google paljasti virheet, koska joku yrityksen ulkopuolelta ehdotti, mistä aloittaa etsiminen, mikä vihjasi, että mahdolliset hyökkääjät tunsivat jo haavoittuvuudet, vaikka he eivät olleet vielä keksineet, kuinka niitä voitaisiin hyödyntää?

(Teknisesti ei vielä hyödynnetty haavoittuvuus, jonka löydät kyberturvallisuusköynnöksestä poimittujen vianmetsästysvihjeiden takia, ei itse asiassa ole nollapäivä, jos kukaan ei ole vielä keksinyt, kuinka reikää voidaan käyttää väärin.)

Mitä tehdä?

Riippumatta siitä, miksi Apple kiirehti tämän minipäivityksen julkaisemiseen niin nopeasti viimeisten korjausten jälkeen, miksi odottaa?

Olemme jo pakottaneet päivityksen iPhoneemme; lataus oli pieni ja päivitys sujui nopeasti ja ilmeisesti sujuvasti.

Käyttää Asetukset > general> ohjelmistopäivitys iPhonessa ja iPadissa ja Omenavalikko > Tietoja tästä Macista > Ohjelmistopäivitys… Maceissa.

Jos Apple seuraa näitä korjauspäivityksiä muihin tuotteisiinsa, ilmoitamme sinulle.