Patch de execuție a codului de urgență de la Apple – dar nu o zi 0

De curând ne-am oprit să ne tragem sufletul după ce am analizat ultimele 62 de patch-uri (sau 64, în funcție de cum numărați) abandonat de Microsoft pe Patch Tuesday...

…decât cele mai recente buletine de securitate ale Apple au ajuns în căsuța noastră de e-mail.

De data aceasta, au fost raportate doar două remedieri: pentru dispozitivele mobile care rulează cel mai recent iOS sau iPadOS și pentru Mac-uri care rulează cea mai recentă încarnare macOS, versiunea 13, mai cunoscută sub numele de Ventura.

Pentru a rezuma ceea ce sunt deja rapoarte de securitate foarte scurte:

• HT21304: Ventura este actualizat de la 13.0 la 13.0.1.
• HT21305: iOS și iPadOS sunt actualizate de la 16.1 la 16.1.1

Cele două buletine de securitate listează exact aceleași două defecte, găsite de echipa Google Project Zero, într-o bibliotecă numită libxml2, și desemnat oficial CVE-2022-40303 și CVE-2022-40304.

Ambele erori au fost scrise cu note care „un utilizator de la distanță poate provoca întreruperea neașteptată a aplicației sau executarea de cod arbitrar”.

Nicio eroare nu este raportată cu formularea tipică de tip zero-day a Apple, în sensul că compania „este conștientă de un raport că această problemă ar fi putut fi exploatată în mod activ”, așa că nu există nicio sugestie că aceste erori sunt de zero zile, cel puțin în ecosistemul Apple. .

Dar cu doar două erori remediate, doar la două săptămâni după Ultima tranșă de patch-uri de la Apple, poate că Apple a crezut că aceste găuri erau coapte pentru exploatare și, astfel, a împins ceea ce este în esență un patch cu un singur bug, având în vedere că aceste găuri au apărut în aceeași componentă software?

De asemenea, având în vedere că analizarea datelor XML este o funcție realizată pe scară largă atât în ​​sistemul de operare în sine, cât și în numeroase aplicații; dat fiind că datele XML vin adesea din surse externe nesigure, cum ar fi site-urile web; și având în vedere că erorile sunt desemnate oficial ca fiind coapte pentru executarea codului de la distanță, utilizate de obicei pentru implantarea de malware sau spyware de la distanță...

…poate că Apple a simțit că aceste bug-uri sunt prea periculoase pentru a le lăsa necorecte pentru mult timp?

Mai dramatic, poate că Apple a ajuns la concluzia că modul în care Google a găsit aceste erori a fost suficient de evident încât altcineva s-ar putea împiedica cu ușurință de ele, poate chiar fără să vrea, și să înceapă să le folosească pentru rău?

Sau poate că erorile au fost descoperite de Google pentru că cineva din afara companiei a sugerat de unde să înceapă să caute, ceea ce înseamnă că vulnerabilitățile erau deja cunoscute de potențialii atacatori, deși nu și-au dat seama încă cum să le exploateze?

(Din punct de vedere tehnic, o vulnerabilitate care nu a fost încă exploatată pe care o descoperi din cauza indicii de vânătoare de erori culese din vița securității cibernetice nu este de fapt o zi zero dacă nimeni nu și-a dat seama încă cum să abuzeze de gaură.)

Ce să fac?

Oricare ar fi motivul Apple pentru care a lansat această mini-actualizare atât de repede după ultimele sale patch-uri, de ce să așteptați?

Am forțat deja o actualizare pe iPhone-ul nostru; descărcarea a fost mică și actualizarea a decurs rapid și aparent fără probleme.

Utilizare setări cont > General> Actualizare de software pe iPhone și iPad-uri și Meniul Apple > Despre acest Mac > Actualizare de software… pe Mac-uri.

Dacă Apple urmărește aceste patch-uri cu actualizări legate de oricare dintre celelalte produse ale sale, vă vom anunța.