Applov popravek za izvajanje kode v nujnih primerih – vendar ne 0-dnevni

Komaj smo se ustavili, da bi zajeli sapo po pregledu zadnjih 62 popravkov (ali 64, odvisno od tega, kako štejete) opustil Microsoft na Patch Tuesday …

… ko so najnovejši Applovi varnostni bilteni pristali v našem nabiralniku.

Tokrat sta bila prijavljena le dva popravka: za mobilne naprave z najnovejšim sistemom iOS ali iPadOS in za računalnike Mac z najnovejšo inkarnacijo macOS, različico 13, bolj znano kot Ventura.

Če povzamem, kaj so že super kratka varnostna poročila:

• HT21304: Ventura se posodobi od 13.0 do 13.0.1.
• HT21305: iOS in iPadOS se posodobita od 16.1 do 16.1.1

Dva varnostna biltena navajata popolnoma isti dve napaki, ki ju je odkrila Googlova ekipa Project Zero v knjižnici, imenovani libxml2, in uradno imenovan CVE-2022-40303 in CVE-2022-40304.

Oba hrošča sta bila zapisana z opombami, ki »oddaljeni uporabnik lahko povzroči nepričakovano prekinitev aplikacije ali izvajanje poljubne kode«.

Nobena napaka ni sporočena z Applovim tipičnim besedilom zero-day, v skladu s tem, da je podjetje "seznanjeno s poročilom, da je bila ta težava morda aktivno izkoriščena", zato ni nobenega namiga, da so te napake zero-day, vsaj v Applovem ekosistemu .

Ampak s samo dvema odpravljenima napakama, samo dva tedna po tem Zadnja serija popravkov Apple, morda je Apple mislil, da so te luknje zrele za izkoriščanje in je tako izrinil, kar je v bistvu popravek z enim hroščem, glede na to, da so se te luknje pojavile v isti programski komponenti?

Glede na to, da je razčlenjevanje podatkov XML funkcija, ki se pogosto izvaja v samem operacijskem sistemu in v številnih aplikacijah; glede na to, da podatki XML pogosto prihajajo iz nezaupljivih zunanjih virov, kot so spletna mesta; in glede na to, da so hrošči uradno označeni kot zreli za oddaljeno izvajanje kode, ki se običajno uporablja za vsaditev zlonamerne ali vohunske programske opreme na daljavo ...

… je morda Apple menil, da so te napake preveč nevarne, da bi jih dolgo pustili nepopravljene?

Bolj dramatično, morda je Apple sklenil, da je način, na katerega je Google odkril te hrošče, dovolj očiten, da bi se lahko kdo drug zlahka spotaknil nanje, morda ne da bi to zares namenil, in jih začel uporabljati za slabo?

Ali pa je morda hrošče odkril Google, ker je nekdo zunaj podjetja predlagal, kje začeti iskati, kar namiguje, da so ranljivosti potencialnim napadalcem že znane, čeprav še niso ugotovili, kako jih izkoristiti?

(Tehnično še neizkoriščena ranljivost, ki jo odkrijete zaradi namigov o lovu na hrošče, iztrganih iz grozdja kibernetske varnosti, pravzaprav ni ničelni dan, če še nihče ni ugotovil, kako zlorabiti luknjo.)

Kaj storiti?

Zakaj bi čakali, ne glede na to, zakaj je Apple tako hitro izdal to mini posodobitev po zadnjih popravkih?

Naš iPhone smo že vsilili posodobitev; prenos je bil majhen in posodobitev je potekala hitro in očitno gladko.

Uporaba Nastavitve > splošno> Posodobitev programske opreme na iPhonih in iPadih ter Apple meni > O tem Macu > Posodobitev programske opreme… na računalnikih Mac.

Če bo Apple tem popravkom sledil s povezanimi posodobitvami katerega koli od svojih drugih izdelkov, vas bomo obvestili.