Correctif d'exécution de code d'urgence d'Apple - mais pas un 0-day

A peine avions-nous cessé de reprendre notre souffle après avoir passé en revue les 62 derniers correctifs (ou 64, selon la façon dont vous comptez) abandonné par Microsoft le Patch Tuesday…

… que les derniers bulletins de sécurité d'Apple ont atterri dans notre boîte de réception.

Cette fois, seuls deux correctifs ont été signalés : pour les appareils mobiles exécutant le dernier iOS ou iPadOS, et pour les Mac exécutant la dernière incarnation de macOS, la version 13, mieux connue sous le nom de Ventura.

Pour résumer des rapports de sécurité déjà très courts :

• HT21304: Ventura est mis à jour de 13.0 à 13.0.1.
• HT21305: iOS et iPadOS sont mis à jour de 16.1 à 16.1.1

Les deux bulletins de sécurité répertorient exactement les deux mêmes failles, découvertes par l'équipe Project Zero de Google, dans une bibliothèque appelée libxml2, et officiellement désignée CVE-2022-40303 ainsi que CVE-2022-40304.

Les deux bogues ont été écrits avec des notes qui "un utilisateur distant peut être en mesure de provoquer la fermeture inattendue d'une application ou l'exécution de code arbitraire".

Aucun bogue n'est signalé avec le libellé typique du jour zéro d'Apple dans le sens que la société "est au courant d'un rapport selon lequel ce problème peut avoir été activement exploité", il n'y a donc aucune suggestion que ces bogues soient des jours zéro, du moins dans l'écosystème d'Apple. .

Mais avec seulement deux bugs corrigés, juste deux semaines après La dernière tranche de correctifs d'Apple, peut-être qu'Apple pensait que ces trous étaient mûrs pour être exploités et a donc repoussé ce qui est essentiellement un correctif à un bogue, étant donné que ces trous sont apparus dans le même composant logiciel ?

De plus, étant donné que l'analyse des données XML est une fonction largement exécutée à la fois dans le système d'exploitation lui-même et dans de nombreuses applications ; étant donné que les données XML proviennent souvent de sources externes non fiables telles que des sites Web ; et étant donné que les bogues sont officiellement désignés comme mûrs pour l'exécution de code à distance, généralement utilisés pour implanter des logiciels malveillants ou des logiciels espions à distance…

… peut-être qu'Apple a estimé que ces bugs étaient trop dangereux pour ne pas être corrigés longtemps ?

Plus dramatiquement, Apple a peut-être conclu que la façon dont Google a trouvé ces bugs était suffisamment évidente pour que quelqu'un d'autre puisse facilement tomber dessus, peut-être même sans vraiment le vouloir, et commencer à les utiliser pour de mauvais ?

Ou peut-être que les bogues ont été découverts par Google parce que quelqu'un de l'extérieur de l'entreprise a suggéré par où commencer à chercher, ce qui implique que les vulnérabilités étaient déjà connues des attaquants potentiels, même s'ils n'avaient pas encore compris comment les exploiter ?

(Techniquement, une vulnérabilité non encore exploitée que vous découvrez en raison d'indices de chasse aux bogues tirés de la vigne de la cybersécurité n'est pas réellement un jour zéro si personne n'a encore compris comment abuser du trou.)

Que faire?

Quelle que soit la raison pour laquelle Apple a publié si rapidement cette mini-mise à jour après ses derniers correctifs, pourquoi attendre ?

Nous avons déjà forcé une mise à jour sur notre iPhone ; le téléchargement était petit et la mise à jour s'est déroulée rapidement et apparemment sans heurts.

Utilisez Paramètres > Général> Mise à jour du logiciel sur iPhone et iPad, et Menu Pomme > À propos de ce Mac > Mise à jour logicielle… sur Mac.

Si Apple suit ces correctifs avec des mises à jour associées à l'un de ses autres produits, nous vous le ferons savoir.