Mal paramos para recuperar o fôlego depois de revisar os últimos 62 patches (ou 64, dependendo de como você conta) descartado pela Microsoft na terça-feira de patch…
…do que os últimos boletins de segurança da Apple chegaram à nossa caixa de entrada.
Desta vez, houve apenas duas correções relatadas: para dispositivos móveis executando o iOS ou iPadOS mais recente, e para Macs executando a versão mais recente do macOS, versão 13, mais conhecida como Ventura.
Para resumir o que já são relatórios de segurança supercurtos:
- HT21304: Ventura é atualizado de 13.0 para 13.0.1.
- HT21305: iOS e iPadOS são atualizados de 16.1 para 16.1.1
Os dois boletins de segurança listam exatamente as mesmas duas falhas, encontradas pela equipe do Project Zero do Google, em uma biblioteca chamada libxml2e oficialmente designado CVE-2022-40303 e CVE-2022-40304.
Ambos os bugs foram escritos com notas que “um usuário remoto pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de código”.
Nenhum dos bugs é relatado com a redação típica de dia zero da Apple, no sentido de que a empresa “está ciente de um relatório de que esse problema pode ter sido explorado ativamente”, portanto não há sugestão de que esses bugs sejam de dia zero, pelo menos dentro do ecossistema da Apple. .
Mas com apenas dois bugs corrigidos, apenas duas semanas depois Na última parcela de patches da Apple, talvez a Apple tenha pensado que essas falhas estavam prontas para exploração e, portanto, lançou o que é essencialmente um patch de um bug, visto que essas falhas apareceram no mesmo componente de software?
Além disso, dado que a análise de dados XML é uma função amplamente executada tanto no próprio sistema operacional quanto em vários aplicativos; dado que os dados XML muitas vezes chegam de fontes externas não confiáveis, como sites; e dado que os bugs são oficialmente designados como prontos para execução remota de código, normalmente usado para implantar malware ou spyware remotamente…
…talvez a Apple tenha achado que esses bugs eram perigosos demais para serem deixados sem correção por muito tempo?
Mais dramaticamente, talvez a Apple tenha concluído que a forma como o Google encontrou esses bugs era suficientemente óbvia para que alguém pudesse facilmente tropeçar neles, talvez sem realmente querer, e começar a usá-los para o mal?
Ou talvez os bugs tenham sido descobertos pelo Google porque alguém de fora da empresa sugeriu onde começar a procurar, o que implica que as vulnerabilidades já eram conhecidas por potenciais invasores, embora ainda não tivessem descoberto como explorá-las?
(Tecnicamente, uma vulnerabilidade ainda não explorada que você descobre devido a dicas de caça a bugs colhidas de rumores de segurança cibernética não é realmente um dia zero se ninguém descobriu como abusar do buraco ainda.)
O que fazer?
Qualquer que seja o motivo da Apple para lançar esta mini-atualização tão rapidamente após seus últimos patches, por que esperar?
Já forçamos uma atualização em nosso iPhone; o download foi pequeno e a atualização foi realizada de forma rápida e aparentemente tranquila.
Use Configurações > Geral> Atualização de software em iPhones e iPads, e Menu Apple > Sobre este Mac > Atualização de software… em Macs.
Se a Apple acompanhar esses patches com atualizações relacionadas a qualquer um de seus outros produtos, avisaremos você.
- Apple
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- CVE-2022-40303
- CVE-2022-40304
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- iOS
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- OS X
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidade
- a segurança do website
- zefirnet
![S3 Ep130: Abra as portas da garagem, HAL [Audio + Text]](https://platoaistream.net/wp-content/uploads/2023/04/s3-ep130-open-the-garage-bay-doors-hal-audio-text-360x188.png)
