Ikke før hadde vi stoppet for å trekke pusten etter å ha gjennomgått de siste 62 lappene (eller 64, avhengig av hvordan du teller) droppet av Microsoft på Patch Tuesday...
…enn Apples siste sikkerhetsbulletiner havnet i innboksen vår.
Denne gangen var det bare to rapporterte rettelser: for mobile enheter som kjører den nyeste iOS eller iPadOS, og for Mac-er som kjører den nyeste macOS-inkarnasjonen, versjon 13, bedre kjent som Ventura.
For å oppsummere det som allerede er superkorte sikkerhetsrapporter:
- HT21304: Ventura blir oppdatert fra 13.0 til 13.0.1.
- HT21305: iOS og iPadOS blir oppdatert fra 16.1 til 16.1.1
De to sikkerhetsbulletinene viser nøyaktig de samme to feilene, funnet av Googles Project Zero-team, i et bibliotek kalt libxml2, og offisielt utpekt CVE-2022-40303 og CVE-2022-40304.
Begge feilene ble skrevet opp med notater som "en ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode".
Ingen av feilene er rapportert med Apples typiske nulldagers ordlyd på den måten at selskapet "er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet", så det er ingen antydning om at disse feilene er nulldager, i det minste inne i Apples økosystem .
Men med bare to feil fikset, bare to uker etter Apples siste del av patcher, kanskje Apple trodde at disse hullene var modne for utnyttelse og dermed skjøvet ut det som egentlig er en én-bug patch, gitt at disse hullene dukket opp i den samme programvarekomponenten?
Også gitt at parsing av XML-data er en funksjon som utføres mye både i selve operativsystemet og i en rekke apper; gitt at XML-data ofte kommer fra upålitelige eksterne kilder som nettsteder; og gitt at feilene offisielt er utpekt som modne for ekstern kjøring av kode, vanligvis brukt til å implantere skadelig programvare eller spyware eksternt ...
...kanskje Apple følte at disse feilene var for farlige til å la være uopprettet lenge?
Mer dramatisk, kanskje Apple konkluderte med at måten Google fant disse feilene på var tilstrekkelig åpenbar til at noen andre lett kunne snuble over dem, kanskje uten egentlig å mene det, og begynne å bruke dem for dårlig?
Eller kanskje feilene ble avdekket av Google fordi noen utenfor selskapet foreslo hvor de skulle begynne å lete, og dermed antydet at sårbarhetene allerede var kjent for potensielle angripere selv om de ennå ikke hadde funnet ut hvordan de skulle utnytte dem?
(Teknisk sett er en ikke-ennå-utnyttet sårbarhet som du oppdager på grunn av bug-jakt-hint plukket fra cybersikkerhet-vinranken, faktisk ikke en null-dag hvis ingen har funnet ut hvordan de skal misbruke hullet ennå.)
Hva gjør jeg?
Hva enn Apples grunn til å forhaste denne minioppdateringen så raskt etter de siste oppdateringene, hvorfor vente?
Vi har allerede tvunget til en oppdatering på vår iPhone; nedlastingen var liten og oppdateringen gikk raskt og tilsynelatende problemfritt.
Bruk innstillinger > general> programvare~~POS=TRUNC på iPhone og iPad, og Apple-menyen > Om denne Mac > Programvare oppdatering… på Mac-er.
Hvis Apple følger opp disse oppdateringene med relaterte oppdateringer til noen av sine andre produkter, gir vi deg beskjed.
- eple
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- CVE-2022-40303
- CVE-2022-40304
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- iOS
- Kaspersky
- malware
- Mcafee
- Naken sikkerhet
- NexBLOC
- OS X
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- VPN
- sårbarhet
- nettside sikkerhet
- zephyrnet
![S3 Ep114: Forebygging av cybertrusler – stopp dem før de stopper deg! [Lyd + tekst]](https://platoaistream.net/wp-content/uploads/2022/12/s3-ep114-preventing-cyberthreats-stop-them-before-they-stop-you-audio-text-360x188.png)
