Apple からの緊急コード実行パッチ – ただしゼロデイではない

最新の 62 個のパッチ (数え方によっては 64 個) を確認した後、すぐに息を止めました。 マイクロソフトが落とした 火曜日のパッチで…

…Apple の最新のセキュリティ速報が私たちの受信箱に届くよりも.

今回報告された修正は 13 つだけでした。最新の iOS または iPadOS を実行しているモバイル デバイス用と、Ventura としてよく知られている最新の macOS 化身バージョン XNUMX を実行している Mac 用です。

すでに非常に短いセキュリティ レポートになっているものを要約すると、次のようになります。

• HT21304: Ventura は 13.0 から XNUMX に更新されます 13.0.1.
• HT21305: iOS と iPadOS が 16.1 から XNUMX にアップデートされます。 16.1.1

XNUMX つのセキュリティ速報には、Google の Project Zero チームによって発見された、まったく同じ XNUMX つの欠陥がリストされています。 libxml2、および正式に指定された CVE-2022-40303 & CVE-2022-40304.

両方のバグは、 「リモート ユーザーが予期しないアプリの終了や任意のコードの実行を引き起こす可能性があります」.

どちらのバグも、Apple の典型的なゼロデイ表現では報告されておらず、同社は「この問題が積極的に悪用された可能性があるという報告を認識している」ため、少なくとも Apple のエコシステム内では、これらのバグがゼロデイであるという示唆はありません。 .

しかし、たった XNUMX つのバグが修正されただけで、 XNUMX週間後 Apple の最後のパッチである。おそらく Apple は、これらの穴は悪用の機が熟していると考えたので、これらの穴が同じソフトウェア コンポーネントに現れたことを考えると、本質的に XNUMX バグのパッチを押し出したのだろうか?

また、XML データの解析は、オペレーティング システム自体と多数のアプリの両方で広く実行される機能であることを考えると、 XML データは、多くの場合、Web サイトなどの信頼できない外部ソースから到着します。 バグがリモート コード実行の機が熟していると公式に指定されていることを考えると、通常はリモートでマルウェアやスパイウェアを埋め込むために使用されます…

…おそらく Apple は、これらのバグが広範に及ぶため、長期間パッチを適用しないままにしておくことはできないと考えていたのでしょうか?

もっと劇的に、おそらく Apple は、Google がこれらのバグを見つけた方法は十分に明白であり、他の誰かがおそらく本当に意味もなくそれらに出くわし、悪用し始める可能性があると結論付けたのだろうか?

それとも、Google がバグを発見したのは、社外の誰かがどこから調査を開始すべきかを示唆したためであり、潜在的な攻撃者が脆弱性を悪用する方法をまだ理解していなくても、脆弱性がすでに知られていることを意味するのでしょうか?

(技術的には、サイバーセキュリティのブドウの木から摘み取ったバグハンティングのヒントによって発見されたまだ悪用されていない脆弱性は、その穴を悪用する方法がまだ誰も解明されていない場合、実際にはゼロデイではありません。)

何をするか？

Apple が最後のパッチの後、このミニ アップデートを急いでリリースした理由が何であれ、待つ必要はありません。

私たちはすでに iPhone のアップデートを強制しています。 ダウンロードは小さく、更新は迅速かつ明らかにスムーズに行われました。

　 設定 > > ソフトウェアの更新 iPhone や iPad では、 アップルメニュー > このMacについて > ソフトウェアの更新… Macの場合。

Apple がこれらのパッチを他の製品に関連するアップデートで追跡する場合は、お知らせします。