在查看了最新的 62 个补丁(或 64 个,取决于您如何计算)后,我们刚停下来喘口气 被微软放弃 在周二补丁...
…比 Apple 最新的安全公告进入我们的收件箱。
这次只报告了两个修复:针对运行最新 iOS 或 iPadOS 的移动设备,以及针对运行最新 macOS 版本 13(更为人所知的是 Ventura)的 Mac。
总结一下已经是超短的安全报告:
这两个安全公告列出了完全相同的两个漏洞,由 Google 的零项目团队在一个名为 libxml2
,并正式指定 CVE-2022-40303 和 CVE-2022-40304.
这两个错误都写有注释 “远程用户可能会导致应用程序意外终止或任意代码执行”.
这两个漏洞都没有按照苹果公司典型的零日措辞报告,即公司“知道有报告称这个问题可能已被积极利用”,因此没有迹象表明这些漏洞是零日漏洞,至少在苹果的生态系统内.
但是只修复了两个错误,只是 两周后 苹果的最后一批补丁,也许苹果认为这些漏洞已经成熟,可以利用,因此推出了本质上是一个漏洞的补丁,因为这些漏洞出现在同一个软件组件中?
此外,鉴于解析 XML 数据是一项在操作系统本身和众多应用程序中广泛执行的功能; 鉴于 XML 数据通常来自不受信任的外部来源,例如网站; 并且鉴于这些漏洞被官方指定为可以远程执行代码,通常用于远程植入恶意软件或间谍软件……
……也许 Apple 认为这些 bug 太危险了,不能长时间不打补丁?
更戏剧性的是,也许苹果得出结论,谷歌发现这些漏洞的方式非常明显,以至于其他人可能很容易偶然发现它们,甚至可能没有真正的意思,并开始将它们用于坏事?
或者也许是谷歌发现了这些漏洞,因为公司外部的人建议从哪里开始寻找,从而暗示潜在的攻击者已经知道这些漏洞,即使他们还没有弄清楚如何利用它们?
(从技术上讲,如果没有人想出如何滥用漏洞,由于从网络安全小道消息中提取的错误搜索提示而发现的尚未被利用的漏洞实际上并不是零日漏洞。)
怎么办呢?
无论苹果公司在最后一个补丁之后如此迅速地推出这个迷你更新的原因是什么,为什么还要等待呢?
我们已经强制更新我们的 iPhone; 下载量很小,更新速度很快,显然很顺利。
使用 个人设置 > 其他咨询> 在 iPhone 和 iPad 上,以及 Apple菜单 > 关于这台Mac > 软件更新… 在 Mac 上。
如果 Apple 跟进这些补丁并对其任何其他产品进行相关更新,我们会通知您。