Патч аварийного выполнения кода от Apple — но не 0-day

Не успели мы остановиться перевести дух после просмотра последних 62 патчей (или 64, как считать) исключено Microsoft во вторник патча…

…чем последние бюллетени по безопасности Apple попали в наш почтовый ящик.

На этот раз сообщалось только о двух исправлениях: для мобильных устройств с последней версией iOS или iPadOS и для компьютеров Mac с последней версией 13-й версии macOS, более известной как Ventura.

Подводя итог тому, что уже является суперкраткими отчетами о безопасности:

• HT21304: Ventura обновляется с 13.0 до 13.0.1.
• HT21305: iOS и iPadOS обновляются с 16.1 до 16.1.1

В двух бюллетенях по безопасности перечислены точно такие же две уязвимости, обнаруженные командой Google Project Zero в библиотеке под названием libxml2, и официально назначенный CVE-2022-40303 и CVE-2022-40304.

Обе ошибки были записаны с примечаниями, что «Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода».

Ни одна из ошибок не сообщается с типичной для Apple формулировкой нулевого дня, вроде того, что компания «знает об отчете о том, что эта проблема могла быть активно использована», поэтому нет никаких предположений, что эти ошибки являются нулевыми днями, по крайней мере, внутри экосистемы Apple. .

Но исправив всего две ошибки, просто две недели спустя Последний пакет исправлений Apple, возможно, Apple подумала, что эти дыры созрели для эксплуатации, и поэтому выпустила то, что по сути является патчем с одной ошибкой, учитывая, что эти дыры обнаружились в одном и том же программном компоненте?

Кроме того, учитывая, что синтаксический анализ XML-данных — это функция, широко выполняемая как в самой операционной системе, так и во многих приложениях; учитывая, что XML-данные часто поступают из ненадежных внешних источников, таких как веб-сайты; и учитывая, что ошибки официально обозначены как созревшие для удаленного выполнения кода, обычно используемого для удаленного внедрения вредоносного или шпионского ПО…

…возможно, Apple посчитала, что эти ошибки слишком опасны, чтобы их можно было долго не исправлять?

Более драматично, возможно, Apple пришла к выводу, что способ, которым Google нашел эти ошибки, был достаточно очевиден, чтобы кто-то другой мог легко наткнуться на них, возможно, даже не особо того желая, и начать использовать их во вред?

Или, возможно, ошибки были обнаружены Google, потому что кто-то извне подсказал, с чего начать поиск, таким образом подразумевая, что уязвимости уже известны потенциальным злоумышленникам, хотя они еще не придумали, как их эксплуатировать?

(Технически, еще не использованная уязвимость, которую вы обнаружите из-за подсказок по поиску ошибок, извлеченных из виноградной лозы кибербезопасности, на самом деле не является нулевым днем, если никто еще не понял, как использовать эту дыру.)

Что делать?

Какова бы ни была причина, по которой Apple так быстро выпустила это мини-обновление после последних патчей, зачем ждать?

Мы уже принудительно обновили наш iPhone; загрузка была небольшой, а обновление прошло быстро и, по-видимому, гладко.

Используйте Настройки > Общие> Обновление ПО на iPhone и iPad и Меню Apple > Об этом Mac > Обновление программного обеспечения… на компьютерах Mac.

Если Apple последует за этими исправлениями с соответствующими обновлениями для любого из своих других продуктов, мы сообщим вам об этом.