תיקון ביצוע קוד חירום מאפל

הועלה מחדש על ידי אפלטון

עוקב: 0

עוד לא עצרנו לנשום אחרי שבדקנו את 62 התיקונים האחרונים (או 64, תלוי איך אתה סופר) ירד על ידי מיקרוסופט ב-Patch Tuesday…

... מאשר עלוני האבטחה האחרונים של אפל נחתו בתיבת הדואר הנכנס שלנו.

הפעם היו רק שני תיקונים שדווחו: למכשירים ניידים המריצים את iOS או iPadOS העדכניים ביותר, ולמחשבי מק עם הגלגול האחרון של macOS, גרסה 13, הידועה יותר בשם Ventura.

לסיכום מה שהם כבר דוחות אבטחה קצרים במיוחד:

HT21304: Ventura מתעדכן מ-13.0 עד 13.0.1.
HT21305: iOS ו-iPadOS מתעדכנים מ-16.1 עד 16.1.1

שני עלוני האבטחה מפרטים בדיוק את אותם שני פגמים, שנמצאו על ידי צוות Project Zero של גוגל, בספרייה בשם libxml2, ומיועד רשמית CVE-2022-40303 ו CVE-2022-40304.

שני הבאגים נכתבו עם הערות זה "ייתכן שמשתמש מרוחק יכול לגרום להפסקת אפליקציה בלתי צפויה או לביצוע קוד שרירותי".

.s-button+.s-button { margin-left: .3125rem; } .s-button { transition: all .15s ליניארי; גודל גופן: .875rem; גובה קו: 1.5; צבע: #f2f2f2; משפחת גופנים: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; תצוגה: בלוק מוטבע; ריפוד: .3125rem 1.25rem; סמן: מצביע; יישור טקסט: מרכז; קישוט טקסט: אין; גבול: 1px מוצק #005bc8; border-radius: 3px; צבע רקע: #005bc8; text-shadow: אין; } .s-button:hover { text-decoration: none; צבע: #fff; צבע גבול: #002d62; צבע רקע: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; צבע גבול: #fff; צבע רקע: #fff; } .s-ad-sophos-mdr { font-size: 1rem; גובה קו: 1.5; צבע: #242629; font-family: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; עמדה: קרוב משפחה; רוחב מקסימלי: 769 פיקסלים; שוליים: 15px אוטומטי; ריפוד: 30px 30px 25px; transition: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); יישור טקסט: מרכז; צבע רקע: #0d141d; רקע-חזרה: אין-חזרה; מיקום רקע: 50%; רקע-גודל: כריכה; קופסא-צל: 0 0 0 0 0 שקוף; צבע רקע: #005bc8; רקע-תמונה: אין; מיקום רקע: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; גובה קו: 1.125; margin-bottom: 4px; צבע: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 17px; צבע: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { מיקום: מוחלט; למעלה: 15px; מימין: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; רוחב: 64 פיקסלים; גובה: 11 פיקסלים; יישור אנכי: למעלה; רקע-חזרה: אין-חזרה; גודל רקע: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 28px; משקל גופן: 700; גובה קו: 1; margin-bottom: 10px; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; גובה קו: 1.25; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { מיקום: מוחלט; מימין: 30 פיקסלים; תחתון: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

אף אחד מהבאגים לא מדווח עם הניסוח האופייני לאפס יום של אפל, כך שהחברה "מודעת לדיווח שייתכן שהבעיה הזו נוצלה באופן פעיל", כך שאין טענה שהבאגים הללו הם אפס ימים, לפחות בתוך המערכת האקולוגית של אפל. .

אבל רק עם שני באגים שתוקנו, פשוט שבועיים אחרי נתח התיקון האחרון של אפל, אולי אפל חשבה שהחורים האלה בשלים לניצול ובכך דחקה החוצה את מה שהוא בעצם תיקון של באג אחד, בהתחשב בכך שהחורים האלה הופיעו באותו רכיב תוכנה?

כמו כן, בהתחשב בכך שניתוח נתוני XML הוא פונקציה המבוצעת באופן נרחב הן במערכת ההפעלה עצמה והן באפליקציות רבות; בהתחשב בכך שנתוני XML מגיעים לרוב ממקורות חיצוניים לא מהימנים כגון אתרי אינטרנט; ובהינתן שהבאגים מוגדרים רשמית כבשילים לביצוע קוד מרחוק, המשמשים בדרך כלל להשתלת תוכנות זדוניות או תוכנות ריגול מרחוק...

...אולי אפל חשה שהבאגים הללו מסוכנים באופן כללי מכדי להשאיר אותם ללא תיקון לאורך זמן?

באופן דרמטי יותר, אולי אפל הגיעה למסקנה שהדרך שבה גוגל מצאה את הבאגים האלה ברורה מספיק כדי שמישהו אחר עלול להיתקל בהם בקלות, אולי אפילו בלי להתכוון לכך, ולהתחיל להשתמש בהם לרעה?

או אולי הבאגים נחשפו על ידי גוגל בגלל שמישהו מחוץ לחברה הציע היכן להתחיל לחפש, ובכך רומז שהחולשות כבר היו ידועות לתוקפים פוטנציאליים למרות שעדיין לא הבינו איך לנצל אותן?

(מבחינה טכנית, פגיעות שטרם נוצלה שאתה מגלה עקב רמזים לציד באגים שנלקחו מגפן אבטחת הסייבר אינה למעשה יום אפס אם אף אחד עדיין לא הבין כיצד לנצל את החור לרעה.)

מה לעשות?

לא משנה מה הסיבה של אפל למהר להוציא את העדכון המיני הזה כל כך מהר אחרי התיקונים האחרונים שלו, למה לחכות?

כבר אילצנו עדכון באייפון שלנו; ההורדה הייתה קטנה והעדכון עבר במהירות וככל הנראה חלק.

השתמש הגדרות > כללי> עדכון תוכנה במכשירי אייפון ואייפד, ו תפריט Apple > על זה Mac > עדכון תוכנה… במחשבי Mac.

אם אפל תעקוב אחר התיקונים האלה עם עדכונים קשורים לאחד מהמוצרים האחרים שלה, נודיע לך.

בול זמן: 9 בנובמבר 202210 בנובמבר 2022

בול זמן: נובמבר 29, 2022

תיקון ביצוע קוד חירום מאפל - אבל לא 0-יום

הועלה מחדש על ידי אפלטון

מה לעשות?

עוד מ ביטחון עירום

חשודים בתוכנת כופר של DoppelPaymer נעצרו בגרמניה ובאוקראינה

S3 Ep91: CodeRed, OpenSSL, באגים ב-Java ופקודות מאקרו של Office [פודקאסט + תמלול]

אבטחה רצינית: MD5 נחשב מזיק - בהיקף של $600,000

עקיפת מסך נעילה מסוכן להחלפת SIM - עדכן את אנדרואיד עכשיו!

Microsoft Patch Tuesday: 36 באגים RCE, 3 ימים אפס, 75 CVEs

חוקרים טוענים שהם יכולים לעקוף את הצפנת Wi-Fi (בקצרה, לפחות)

הפרת Optus - טלקו האוסטרלי אמרו שהיא תצטרך לשלם כדי להחליף תעודות זהות

Chrome מנפיק תיקון דחוף ליום אפס - עדכן עכשיו!

אודות

חיפוש אנכי ו- Ai

פלטפורמה

שמור על קשר

חֶשְׁבּוֹן