ไม่ช้าก็เร็วเราหยุดหายใจหลังจากตรวจสอบ 62 แพทช์ล่าสุด (หรือ 64 ขึ้นอยู่กับว่าคุณนับอย่างไร) ลดลงโดย Microsoft ในแพทช์วันอังคาร…
…มากกว่ากระดานข่าวความปลอดภัยล่าสุดของ Apple ที่อยู่ในกล่องจดหมายของเรา
ครั้งนี้มีรายงานการแก้ไขเพียงสองรายการเท่านั้น: สำหรับอุปกรณ์มือถือที่ใช้ iOS หรือ iPadOS ล่าสุด และสำหรับ Mac ที่ใช้ macOS เวอร์ชันล่าสุดซึ่งรู้จักกันดีในชื่อ Ventura
เพื่อสรุปรายงานความปลอดภัยที่สั้นมากอยู่แล้ว:
- HT21304: Ventura ได้รับการอัปเดตจาก 13.0 เป็น 13.0.1.
- HT21305: iOS และ iPadOS ได้รับการอัพเดทจาก 16.1 เป็น 16.1.1
กระดานข่าวความปลอดภัยทั้งสองแสดงรายการข้อบกพร่องสองประการที่เหมือนกันทุกประการ ซึ่งพบโดยทีม Project Zero ของ Google ในห้องสมุดชื่อ libxml2
และกำหนดอย่างเป็นทางการ CVE-2022-40303 และ CVE-2022-40304.
ข้อบกพร่องทั้งสองถูกเขียนขึ้นพร้อมกับบันทึกว่า “ผู้ใช้ระยะไกลอาจทำให้แอปหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ”.
ไม่มีรายงานข้อบกพร่องใด ๆ ด้วยถ้อยคำซีโร่เดย์ทั่วไปของ Apple ว่าบริษัท “ทราบถึงรายงานว่าปัญหานี้อาจถูกนำไปใช้ประโยชน์อย่างแข็งขัน” ดังนั้นจึงไม่มีข้อเสนอแนะว่าข้อบกพร่องเหล่านี้เป็นศูนย์ อย่างน้อยก็ภายในระบบนิเวศของ Apple .
แต่ด้วยการแก้ไขข้อบกพร่องเพียงสองข้อเพียง สองสัปดาห์หลังจากนั้น แพทช์ชุดสุดท้ายของ Apple บางที Apple อาจคิดว่าช่องโหว่เหล่านี้สุกงอมสำหรับการเอารัดเอาเปรียบและผลักดันสิ่งที่เป็นแพทช์หนึ่งจุดโดยพื้นฐานแล้วเนื่องจากรูเหล่านี้ปรากฏในส่วนประกอบซอฟต์แวร์เดียวกัน
นอกจากนี้ เนื่องจากการแยกวิเคราะห์ข้อมูล XML เป็นฟังก์ชันที่ดำเนินการอย่างกว้างขวางทั้งในระบบปฏิบัติการและในแอปจำนวนมาก เนื่องจากข้อมูล XML มักจะมาจากแหล่งภายนอกที่ไม่น่าเชื่อถือ เช่น เว็บไซต์ และเนื่องจากบั๊กนั้นถูกกำหนดอย่างเป็นทางการว่าสุกงอมสำหรับการประมวลผลโค้ดจากระยะไกล ซึ่งมักใช้สำหรับฝังมัลแวร์หรือสปายแวร์จากระยะไกล...
…บางที Apple รู้สึกว่าแมลงเหล่านี้อันตรายเกินไปที่จะปล่อยทิ้งไว้นานๆ
ยิ่งไปกว่านั้น บางที Apple อาจสรุปว่าวิธีที่ Google พบข้อบกพร่องเหล่านี้ชัดเจนเพียงพอแล้วที่คนอื่นอาจสะดุดกับข้อบกพร่องเหล่านี้ได้ง่าย โดยอาจไม่ได้ตั้งใจจริงๆ และเริ่มใช้มันในทางที่แย่
หรือบางที Google ค้นพบจุดบกพร่อง เพราะมีใครบางคนจากภายนอกบริษัทแนะนำว่าจะเริ่มค้นหาจากที่ใด ซึ่งหมายความว่าผู้โจมตีอาจรู้จักช่องโหว่นี้แล้ว ถึงแม้ว่าพวกเขาจะยังไม่รู้วิธีใช้ประโยชน์จากช่องโหว่เหล่านี้
(ในทางเทคนิค ช่องโหว่ที่ยังไม่ได้ใช้ประโยชน์ซึ่งคุณค้นพบเนื่องจากคำใบ้การล่าบั๊กที่ดึงมาจากองุ่นการรักษาความปลอดภัยทางไซเบอร์นั้นไม่ใช่ซีโร่เดย์จริงๆ หากยังไม่มีใครรู้ว่าจะใช้ช่องโหว่นี้อย่างไร)
จะทำอย่างไร?
ไม่ว่าเหตุผลของ Apple ในการเร่งการอัปเดตขนาดเล็กนี้อย่างรวดเร็วหลังจากแพตช์ล่าสุด จะรอทำไม
เราบังคับให้อัปเดตบน iPhone ของเราแล้ว การดาวน์โหลดมีขนาดเล็กและการอัปเดตดำเนินไปอย่างรวดเร็วและราบรื่น
ใช้ การตั้งค่า > General> การปรับปรุงซอฟต์แวร์ บน iPhone และ iPad และ เมนู Apple > เกี่ยวกับ Mac เครื่องนี้ > อัพเดตซอฟต์แวร์… บนเครื่อง Mac
หาก Apple ติดตามแพตช์เหล่านี้ด้วยการอัปเดตที่เกี่ยวข้องกับผลิตภัณฑ์อื่นๆ เราจะแจ้งให้คุณทราบ
- Apple
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- CVE-2022-40303
- CVE-2022-40304
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- iOS
- Kaspersky
- มัลแวร์
- แมคคาฟี
- ความปลอดภัยเปล่า
- เน็กซ์บล๊อก
- OS X
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความอ่อนแอ
- ความปลอดภัยของเว็บไซต์
- ลมทะเล