Awaryjna łatka wykonania kodu od Apple – ale nie 0-day

Ledwie przestaliśmy złapać oddech po przejrzeniu ostatnich 62 poprawek (lub 64, w zależności od tego, jak liczysz) porzucone przez Microsoft we wtorek we wtorek…

…wtedy w naszej skrzynce odbiorczej pojawiły się najnowsze biuletyny firmy Apple dotyczące zabezpieczeń.

Tym razem zgłoszono tylko dwie poprawki: dla urządzeń mobilnych z najnowszym systemem iOS lub iPadOS oraz dla komputerów Mac z najnowszym wcieleniem macOS, wersją 13, lepiej znaną jako Ventura.

Podsumowując to, co już są superkrótkimi raportami bezpieczeństwa:

• HT21304: Ventura zostanie zaktualizowana z 13.0 do 13.0.1.
• HT21305: iOS i iPadOS zostaną zaktualizowane od 16.1 do 16.1.1

W dwóch biuletynach dotyczących bezpieczeństwa wymieniono dokładnie te same dwie luki, które zostały znalezione przez zespół Google Project Zero w bibliotece o nazwie libxml2i oficjalnie wyznaczony CVE-2022-40303 i CVE-2022-40304.

Oba błędy zostały opisane z uwagami, które „zdalny użytkownik może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu”.

Żaden błąd nie został zgłoszony w typowym dla Apple sformułowaniu zero-day, zgodnie z którym firma „jest świadoma zgłoszenia, że ​​ten problem mógł być aktywnie wykorzystywany”, więc nie ma sugestii, że te błędy są zerowe, przynajmniej w ekosystemie Apple .

Ale po naprawieniu tylko dwóch błędów, po prostu dwa tygodnie później Ostatnia transza łat Apple, być może Apple uważał, że te dziury są gotowe do wykorzystania i dlatego wypchnął coś, co jest zasadniczo łatką z jednym błędem, biorąc pod uwagę, że te dziury pojawiły się w tym samym komponencie oprogramowania?

Ponadto, biorąc pod uwagę, że parsowanie danych XML jest funkcją szeroko wykonywaną zarówno w samym systemie operacyjnym, jak iw wielu aplikacjach; biorąc pod uwagę, że dane XML często pochodzą z niezaufanych źródeł zewnętrznych, takich jak strony internetowe; i biorąc pod uwagę, że błędy są oficjalnie oznaczone jako gotowe do zdalnego wykonania kodu, zwykle używanego do zdalnego wszczepiania złośliwego oprogramowania lub oprogramowania szpiegującego…

…być może Apple uznał, że te błędy są zbyt niebezpieczne, aby pozostawić je bez łaty przez długi czas?

Co bardziej dramatyczne, być może Apple doszedł do wniosku, że sposób, w jaki Google znalazł te błędy, był wystarczająco oczywisty, aby ktoś inny mógł łatwo na nie natknąć się, być może nawet nie mając takiego zamiaru, i zacząć wykorzystywać je do zła?

A może błędy zostały wykryte przez Google, ponieważ ktoś spoza firmy zasugerował, od czego zacząć szukać, sugerując tym samym, że luki były już znane potencjalnym napastnikom, mimo że nie zorientowali się jeszcze, jak je wykorzystać?

(Technicznie rzecz biorąc, nie wykorzystana jeszcze luka, którą odkrywasz dzięki wskazówkom na temat wykrywania błędów wyjętych z winorośli cyberbezpieczeństwa, nie jest w rzeczywistości dniem zerowym, jeśli nikt jeszcze nie wymyślił, jak wykorzystać dziurę).

Co robić?

Bez względu na powód, dla którego Apple wypuścił tę mini-aktualizację tak szybko po jej ostatnich aktualizacjach, po co czekać?

Wymusiliśmy już aktualizację na naszym iPhonie; pobieranie było niewielkie, a aktualizacja przebiegła szybko i najwyraźniej płynnie.

Zastosowanie Ustawienia > Ogólne> Aktualizacja oprogramowania na iPhone'ach i iPadach oraz Menu Apple > O tym komputerze Mac > Aktualizacja oprogramowania… na komputerach Mac.

Jeśli Apple zastosuje te poprawki, wprowadzając powiązane aktualizacje któregokolwiek ze swoich innych produktów, poinformujemy Cię o tym.