Патч для екстреного виконання коду від Apple – але не 0-денний

Не встигли ми зупинитися, щоб перевести подих після перегляду останніх 62 патчів (або 64, залежно від того, як рахувати) відкинуто Microsoft у оновлений вівторок…

… ніж останні бюлетені безпеки від Apple потрапили до нашої поштової скриньки.

Цього разу було повідомлено лише про два виправлення: для мобільних пристроїв з останньою версією iOS або iPadOS і для Mac з останньою версією macOS версії 13, більш відомої як Ventura.

Підсумовуючи те, що вже є надкороткими звітами безпеки:

• HT21304: Ventura оновлено з 13.0 до 13.0.1.
• HT21305: iOS та iPadOS оновлено з 16.1 до 16.1.1

У двох бюлетенях безпеки перелічено ті самі два недоліки, виявлені командою Google Project Zero в бібліотеці під назвою libxml2, і офіційно визначено CVE-2022-40303 та CVE-2022-40304.

Обидві помилки були записані з примітками «віддалений користувач може спричинити несподіване завершення програми або виконання довільного коду».

Жодна з помилок не повідомляється з типовим для Apple формулюванням нульового дня, згідно з яким компанія «знає про повідомлення про те, що цю проблему, можливо, активно використовували», тому немає припущень, що ці помилки є нульовими днями, принаймні в екосистемі Apple .

Але лише з двома виправленими помилками два тижні після Остання серія виправлень Apple. Можливо, Apple подумала, що ці діри дозріли для використання, і тому витіснила те, що, по суті, є виправленням однієї помилки, враховуючи, що ці діри з’явилися в одному компоненті програмного забезпечення?

Крім того, враховуючи, що синтаксичний аналіз XML-даних є функцією, яка широко виконується як у самій операційній системі, так і в багатьох програмах; враховуючи, що дані XML часто надходять із ненадійних зовнішніх джерел, таких як веб-сайти; і враховуючи, що помилки офіційно позначено як готові для віддаленого виконання коду, який зазвичай використовується для віддаленого імплантування зловмисного або шпигунського ПЗ...

…можливо Apple відчула, що ці помилки надто небезпечні, щоб їх довго не виправляти?

Що ще більш драматично, можливо, Apple дійшла висновку, що те, як Google знайшов ці помилки, було достатньо очевидним, щоб хтось інший міг легко натрапити на них, можливо, навіть не маючи на увазі, і почати використовувати їх на зло?

Або, можливо, помилки були виявлені Google, тому що хтось із-за меж компанії підказав, з чого почати пошук, маючи на увазі, що вразливості вже відомі потенційним зловмисникам, хоча вони ще не зрозуміли, як ними скористатися?

(Технічно, ще не використана вразливість, яку ви виявляєте завдяки підказкам про пошук помилок, витягнутим із виноградної лози кібербезпеки, насправді не є нульовим днем, якщо ще ніхто не зрозумів, як зловживати цією дірою.)

Що ж робити?

Якою б не була причина Apple поспішити з цим міні-оновленням так швидко після останніх виправлень, навіщо чекати?

Ми вже примусово оновили наш iPhone; завантаження було невеликим, а оновлення пройшло швидко та, очевидно, без проблем.

Скористайтесь Налаштування > Загальне> Оновлення програмного забезпечення на iPhone та iPad, а також Apple меню > Про цей Mac > Оновлення програмного забезпечення… на комп’ютерах Mac.

Якщо Apple доповнить ці виправлення пов’язаними оновленнями будь-яких інших своїх продуктів, ми повідомимо вас про це.