Nauwelijks waren we gestopt om op adem te komen na het bekijken van de laatste 62 patches (of 64, afhankelijk van hoe je telt) laten vallen door Microsoft op patch-dinsdag...
…dan belandden de nieuwste beveiligingsbulletins van Apple in onze inbox.
Deze keer waren er slechts twee gerapporteerde oplossingen: voor mobiele apparaten met de nieuwste iOS of iPadOS, en voor Macs met de nieuwste macOS-incarnatie, versie 13, beter bekend als Ventura.
Om samen te vatten wat al superkorte beveiligingsrapporten zijn:
- HT21304: Ventura wordt bijgewerkt van 13.0 naar 13.0.1.
- HT21305: iOS en iPadOS worden geüpdatet van 16.1 naar 16.1.1
De twee beveiligingsbulletins vermelden exact dezelfde twee fouten, gevonden door het Project Zero-team van Google, in een bibliotheek genaamd libxml2, en officieel aangewezen CVE-2022-40303 en CVE-2022-40304.
Beide bugs zijn opgeschreven met notities die "een externe gebruiker kan mogelijk onverwachte app-beëindiging of uitvoering van willekeurige code veroorzaken".
Geen van beide bugs wordt gerapporteerd met de typische zero-day-bewoording van Apple in de trant van dat het bedrijf "op de hoogte is van een rapport dat dit probleem mogelijk actief is misbruikt", dus er is geen suggestie dat deze bugs zero-days zijn, althans binnen het ecosysteem van Apple .
Maar met slechts twee opgeloste bugs, gewoon twee weken daarna Apple's laatste tranche van patches, misschien dacht Apple dat deze gaten rijp waren voor misbruik en duwde daarom wat in wezen een patch met één bug is, aangezien deze gaten in dezelfde softwarecomponent opdoken?
Aangezien het parseren van XML-gegevens een functie is die veel wordt uitgevoerd, zowel in het besturingssysteem zelf als in tal van apps; aangezien XML-gegevens vaak afkomstig zijn van niet-vertrouwde externe bronnen zoals websites; en aangezien de bugs officieel zijn aangemerkt als rijp voor uitvoering van code op afstand, meestal gebruikt voor het op afstand implanteren van malware of spyware...
…misschien vond Apple dat deze bugs te algemeen gevaarlijk waren om lang ongepatcht te blijven?
Wat nog dramatischer is, misschien concludeerde Apple dat de manier waarop Google deze bugs vond voldoende duidelijk was dat iemand anders er gemakkelijk op zou kunnen stuiten, misschien zelfs zonder dat het echt de bedoeling was, en ze voor slecht zou gaan gebruiken?
Of misschien werden de bugs ontdekt door Google omdat iemand van buiten het bedrijf suggereerde waar ze moesten zoeken, wat impliceerde dat de kwetsbaarheden al bekend waren bij potentiële aanvallers, ook al hadden ze nog niet bedacht hoe ze deze konden misbruiken?
(Technisch gezien is een nog niet benutte kwetsbaarheid die je ontdekt als gevolg van hints voor het zoeken naar bugs die uit de cyberbeveiligingswijnstok zijn geplukt, eigenlijk geen zero-day als nog niemand heeft bedacht hoe het gat kan worden misbruikt.)
Wat te doen?
Wat de reden van Apple ook is om deze mini-update zo snel uit te brengen na de laatste patches, waarom wachten?
We hebben al een update geforceerd op onze iPhone; de download was klein en de update verliep snel en ogenschijnlijk soepel.
Te gebruiken Instellingen > Algemeen> software bijwerken op iPhones en iPads, en Apple-menu > Over deze Mac > Software-update… op Mac's.
Als Apple deze patches opvolgt met gerelateerde updates voor een van zijn andere producten, laten we het u weten.
- Apple
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- CVE-2022-40303
- CVE-2022-40304
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- iOS
- Kaspersky
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- OS X
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- kwetsbaarheid
- website veiligheid
- zephyrnet
