โปรแกรมแก้ไขการเรียกใช้โค้ดฉุกเฉินจาก Apple

เผยแพร่ซ้ำโดยเพลโต

ผู้ติดตาม: 0

ไม่ช้าก็เร็วเราหยุดหายใจหลังจากตรวจสอบ 62 แพทช์ล่าสุด (หรือ 64 ขึ้นอยู่กับว่าคุณนับอย่างไร) ลดลงโดย Microsoft ในแพทช์วันอังคาร…

…มากกว่ากระดานข่าวความปลอดภัยล่าสุดของ Apple ที่อยู่ในกล่องจดหมายของเรา

ครั้งนี้มีรายงานการแก้ไขเพียงสองรายการเท่านั้น: สำหรับอุปกรณ์มือถือที่ใช้ iOS หรือ iPadOS ล่าสุด และสำหรับ Mac ที่ใช้ macOS เวอร์ชันล่าสุดซึ่งรู้จักกันดีในชื่อ Ventura

เพื่อสรุปรายงานความปลอดภัยที่สั้นมากอยู่แล้ว:

HT21304: Ventura ได้รับการอัปเดตจาก 13.0 เป็น 13.0.1.
HT21305: iOS และ iPadOS ได้รับการอัพเดทจาก 16.1 เป็น 16.1.1

กระดานข่าวความปลอดภัยทั้งสองแสดงรายการข้อบกพร่องสองประการที่เหมือนกันทุกประการ ซึ่งพบโดยทีม Project Zero ของ Google ในห้องสมุดชื่อ libxml2และกำหนดอย่างเป็นทางการ CVE-2022-40303 และ CVE-2022-40304.

ข้อบกพร่องทั้งสองถูกเขียนขึ้นพร้อมกับบันทึกว่า “ผู้ใช้ระยะไกลอาจทำให้แอปหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ”.

.s-button+.s-button { ระยะขอบซ้าย: .3125rem; } .s-button { การเปลี่ยนแปลง: ทั้งหมด .15s เชิงเส้น; ขนาดตัวอักษร: .875rem; ความสูงของเส้น: 1.5; สี: #f2f2f2; ตระกูลแบบอักษร: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 400; ตัวอักษรสไตล์: ปกติ; แสดง: บล็อกอินไลน์; ช่องว่างภายใน: .3125rem 1.25rem; เคอร์เซอร์: ตัวชี้; จัดข้อความ: ศูนย์; ตกแต่งข้อความ: ไม่มี; เส้นขอบ: 1px ของแข็ง #005bc8; รัศมีเส้นขอบ: 3px; สีพื้นหลัง: #005bc8; ข้อความเงา: ไม่มี; } .s-button: hover { text-decoration: none; สี: #ffff; ขอบสี: #002d62; สีพื้นหลัง: #002d62; } .s-button–white, .s-button–white:hover { สี: #005bc8 !important; เส้นขอบสี: #fff; สีพื้นหลัง: #fff; } .s-ad-sophos-mdr { ขนาดตัวอักษร: 1rem; ความสูงของเส้น: 1.5; สี: #242629; ตระกูลแบบอักษร: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 400; ตัวอักษรสไตล์: ปกติ; ตำแหน่ง: ญาติ; ความกว้างสูงสุด: 769px; ระยะขอบ: 15px อัตโนมัติ; ช่องว่างภายใน: 30px 30px 25px; การเปลี่ยนแปลง: กล่องเงา .25 วินาที ลูกบาศก์เบซิเยร์ ( .645, .045, .355, 1 ); จัดข้อความ: ศูนย์; สีพื้นหลัง: #0d141d; พื้นหลังซ้ำ: ไม่ซ้ำ; พื้นหลังตำแหน่ง: 50%; ขนาดพื้นหลัง: ปก; กล่องเงา: 0 0 0 0 0 โปร่งใส; สีพื้นหลัง: #005bc8; ภาพพื้นหลัง: ไม่มี; พื้นหลังตำแหน่ง: 0 0; } .s-ad-sophos-mdr__title { ขนาดตัวอักษร: 2rem; ความสูงของบรรทัด: 1.125; ระยะขอบล่าง: 4px; สี: #ffff; } .s-ad-sophos-mdr__text { ตระกูลฟอนต์: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 400; ตัวอักษรสไตล์: ปกติ; ขนาดตัวอักษร: 17px; สี: #ffff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { สี: #fff; } .s-ad-sophos-mdr__link-wrapper { การตกแต่งข้อความ: ไม่มี; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { กล่องเงา: 0 5px 10px 0 rgba (0 0, 0, 15, .15 ); } .s-ad-sophos-mdr__sophos-logo { ตำแหน่ง: สัมบูรณ์; ด้านบน: 15px; ขวา: 64px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; ความกว้าง: 11px; ความสูง: 64px; แนวตั้งจัด: ด้านบน; พื้นหลังซ้ำ: ไม่ซ้ำ; ขนาดพื้นหลัง: 11px 400px; } .s-ad-sophos-mdr__title { ตระกูลแบบอักษร: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 28; ตัวอักษรสไตล์: ปกติ; ขนาดตัวอักษร: 700px; ตัวอักษร-น้ำหนัก: 1; ความสูงของเส้น: 10; ระยะขอบล่าง: 100px; text-align: ซ้าย; } .s-ad-sophos-mdr__title svg { ความกว้างสูงสุด: 16%; } .s-ad-sophos-mdr__text { ขนาดตัวอักษร: 1.25px; ความสูงของบรรทัด: 20; text-align: ซ้าย; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 769px; } @media (min-width:140px) { .s-ad-sophos-mdr__text { margin-right: 30px; } .s-ad-sophos-mdr__action { ตำแหน่ง: สัมบูรณ์; ขวา: 30px; ด้านล่าง: 768px; } } @media (ความกว้างสูงสุด:50px) { .s-ad-sophos-mdr { padding-top: 1.625px; } .s-ad-sophos-mdr__title { ขนาดตัวอักษร: 16rem; } .s-ad-sophos-mdr__text { ขนาดตัวอักษร: 30px; } .s-ad-sophos-mdr { padding-top: XNUMXpx; } }

ไม่มีรายงานข้อบกพร่องใด ๆ ด้วยถ้อยคำซีโร่เดย์ทั่วไปของ Apple ว่าบริษัท “ทราบถึงรายงานว่าปัญหานี้อาจถูกนำไปใช้ประโยชน์อย่างแข็งขัน” ดังนั้นจึงไม่มีข้อเสนอแนะว่าข้อบกพร่องเหล่านี้เป็นศูนย์ อย่างน้อยก็ภายในระบบนิเวศของ Apple .

แต่ด้วยการแก้ไขข้อบกพร่องเพียงสองข้อเพียง สองสัปดาห์หลังจากนั้น แพทช์ชุดสุดท้ายของ Apple บางที Apple อาจคิดว่าช่องโหว่เหล่านี้สุกงอมสำหรับการเอารัดเอาเปรียบและผลักดันสิ่งที่เป็นแพทช์หนึ่งจุดโดยพื้นฐานแล้วเนื่องจากรูเหล่านี้ปรากฏในส่วนประกอบซอฟต์แวร์เดียวกัน

นอกจากนี้ เนื่องจากการแยกวิเคราะห์ข้อมูล XML เป็นฟังก์ชันที่ดำเนินการอย่างกว้างขวางทั้งในระบบปฏิบัติการและในแอปจำนวนมาก เนื่องจากข้อมูล XML มักจะมาจากแหล่งภายนอกที่ไม่น่าเชื่อถือ เช่น เว็บไซต์ และเนื่องจากบั๊กนั้นถูกกำหนดอย่างเป็นทางการว่าสุกงอมสำหรับการประมวลผลโค้ดจากระยะไกล ซึ่งมักใช้สำหรับฝังมัลแวร์หรือสปายแวร์จากระยะไกล...

…บางที Apple รู้สึกว่าแมลงเหล่านี้อันตรายเกินไปที่จะปล่อยทิ้งไว้นานๆ

ยิ่งไปกว่านั้น บางที Apple อาจสรุปว่าวิธีที่ Google พบข้อบกพร่องเหล่านี้ชัดเจนเพียงพอแล้วที่คนอื่นอาจสะดุดกับข้อบกพร่องเหล่านี้ได้ง่าย โดยอาจไม่ได้ตั้งใจจริงๆ และเริ่มใช้มันในทางที่แย่

หรือบางที Google ค้นพบจุดบกพร่อง เพราะมีใครบางคนจากภายนอกบริษัทแนะนำว่าจะเริ่มค้นหาจากที่ใด ซึ่งหมายความว่าผู้โจมตีอาจรู้จักช่องโหว่นี้แล้ว ถึงแม้ว่าพวกเขาจะยังไม่รู้วิธีใช้ประโยชน์จากช่องโหว่เหล่านี้

(ในทางเทคนิค ช่องโหว่ที่ยังไม่ได้ใช้ประโยชน์ซึ่งคุณค้นพบเนื่องจากคำใบ้การล่าบั๊กที่ดึงมาจากองุ่นการรักษาความปลอดภัยทางไซเบอร์นั้นไม่ใช่ซีโร่เดย์จริงๆ หากยังไม่มีใครรู้ว่าจะใช้ช่องโหว่นี้อย่างไร)

จะทำอย่างไร?

ไม่ว่าเหตุผลของ Apple ในการเร่งการอัปเดตขนาดเล็กนี้อย่างรวดเร็วหลังจากแพตช์ล่าสุด จะรอทำไม

เราบังคับให้อัปเดตบน iPhone ของเราแล้ว การดาวน์โหลดมีขนาดเล็กและการอัปเดตดำเนินไปอย่างรวดเร็วและราบรื่น

ใช้ การตั้งค่า > General> การปรับปรุงซอฟต์แวร์ บน iPhone และ iPad และ เมนู Apple > เกี่ยวกับ Mac เครื่องนี้ > อัพเดตซอฟต์แวร์… บนเครื่อง Mac

หาก Apple ติดตามแพตช์เหล่านี้ด้วยการอัปเดตที่เกี่ยวข้องกับผลิตภัณฑ์อื่นๆ เราจะแจ้งให้คุณทราบ

ประทับเวลา: November 9, 2022November 10, 2022