Patch per l'esecuzione del codice di emergenza di Apple, ma non un giorno 0

Non appena ci siamo fermati a riprendere fiato dopo aver esaminato le ultime 62 patch (o 64, a seconda di come si contano) abbandonato da Microsoft il Patch Martedì...

…di quanto gli ultimi bollettini sulla sicurezza di Apple siano arrivati ​​nella nostra casella di posta.

Questa volta sono state segnalate solo due correzioni: per i dispositivi mobili con l'ultimo iOS o iPadOS e per i Mac con l'ultima incarnazione di macOS, versione 13, meglio conosciuta come Ventura.

Per riassumere quelli che sono già brevissimi rapporti sulla sicurezza:

• HT21304: Ventura viene aggiornato dal 13.0 al 13.0.1.
• HT21305: iOS e iPadOS vengono aggiornati da 16.1 a 16.1.1

I due bollettini sulla sicurezza elencano esattamente le stesse due falle, trovate dal team Project Zero di Google, in una libreria chiamata libxml2, e ufficialmente designato CVE-2022-40303 ed CVE-2022-40304.

Entrambi i bug sono stati scritti con note che "un utente remoto potrebbe essere in grado di causare la chiusura imprevista dell'app o l'esecuzione arbitraria di codice".

Nessuno dei due bug viene segnalato con la tipica dicitura zero-day di Apple sulla falsariga che la società "è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato", quindi non vi è alcun suggerimento che questi bug siano zero-day, almeno all'interno dell'ecosistema Apple .

Ma con solo due bug corretti, solo due settimane dopo L'ultima tranche di patch di Apple, forse Apple ha pensato che questi buchi fossero maturi per essere sfruttati e quindi ha eliminato quella che è essenzialmente una patch con un bug, dato che questi buchi si sono manifestati nello stesso componente software?

Inoltre, dato che l'analisi dei dati XML è una funzione ampiamente svolta sia nel sistema operativo stesso che in numerose app; dato che i dati XML spesso arrivano da fonti esterne non attendibili come i siti Web; e dato che i bug sono ufficialmente designati come maturi per l'esecuzione di codice in modalità remota, generalmente utilizzati per impiantare malware o spyware in remoto...

...forse Apple ha ritenuto che questi bug fossero troppo pericolosi per essere lasciati senza patch a lungo?

Più drammaticamente, forse Apple ha concluso che il modo in cui Google ha trovato questi bug era sufficientemente ovvio che qualcun altro potrebbe facilmente inciampare su di loro, forse senza nemmeno volerlo davvero, e iniziare a usarli per il male?

O forse i bug sono stati scoperti da Google perché qualcuno esterno all'azienda ha suggerito da dove iniziare a cercare, sottintendendo così che le vulnerabilità erano già note ai potenziali aggressori anche se non avevano ancora capito come sfruttarle?

(Tecnicamente, una vulnerabilità non ancora sfruttata che scopri a causa di suggerimenti di caccia ai bug strappati dalla vite della sicurezza informatica non è in realtà un giorno zero se nessuno ha ancora capito come abusare del buco.)

Cosa fare?

Qualunque sia il motivo per cui Apple ha affrettato questo mini-aggiornamento così rapidamente dopo le ultime patch, perché aspettare?

Abbiamo già forzato un aggiornamento sul nostro iPhone; il download era piccolo e l'aggiornamento è stato eseguito rapidamente e apparentemente senza intoppi.

Usa il Impostazioni profilo > Generale> Aggiornamento software su iPhone e iPad e Menu Apple > Informazioni su questo Mac > Aggiornamento software... su Mac.

Se Apple segue queste patch con aggiornamenti correlati a uno qualsiasi dei suoi altri prodotti, ti faremo sapere.