Alighogy megálltunk levegőhöz jutni, miután átnéztük a legutóbbi 62 javítást (vagy 64-et, attól függően, hogyan számolod) elejtette a Microsoft patch kedden…
…akkor az Apple legújabb biztonsági közleményei a postaládánkban landoltak.
Ezúttal csak két javításról számoltak be: a legújabb iOS vagy iPadOS rendszert futtató mobileszközökhöz, illetve a MacOS legújabb, 13-as verzióját futtató Mac gépekhez, ismertebb nevén Ventura.
Összefoglalva, melyek azok, amelyek már most is szuperrövid biztonsági jelentések:
A két biztonsági közlemény pontosan ugyanazt a két hibát sorolja fel, amelyeket a Google Project Zero csapata talált az ún. libxml2
, és hivatalosan kijelölve CVE-2022 40303- és a CVE-2022 40304-.
Mindkét hibát felírták olyan megjegyzésekkel „Egy távoli felhasználó váratlan alkalmazásleállást vagy tetszőleges kódfuttatást okozhat”.
Egyik hibát sem jelentették az Apple tipikus nulladik napjának megfogalmazásával, amely szerint a vállalat „tudatában van egy jelentésnek, miszerint ezt a problémát aktívan kihasználhatták”, így nincs arra utaló jel, hogy ezek a hibák nulla naposak, legalábbis az Apple ökoszisztémáján belül. .
De csak két hiba javításával, csak két hét múlva Az Apple utolsó foltja, talán az Apple úgy gondolta, hogy ezek a lyukak megérettek a kiaknázásra, és ezért kiszorította a lényegében egyhibás javítást, mivel ezek a lyukak ugyanabban a szoftverkomponensben jelentek meg?
Tekintettel arra, hogy az XML adatok elemzése magában az operációs rendszerben és számos alkalmazásban egyaránt széles körben végrehajtott funkció; tekintettel arra, hogy az XML-adatok gyakran nem megbízható külső forrásokból, például webhelyekről érkeznek; és mivel a hibákat hivatalosan a távoli kódfuttatásra alkalmasnak minősítették, általában rosszindulatú vagy kémprogramok távoli beültetésére használják...
…talán az Apple úgy érezte, hogy ezek a hibák túlságosan veszélyesek ahhoz, hogy sokáig kijavítatlanul hagyják őket?
Még drámaibb, hogy az Apple arra a következtetésre jutott, hogy az a mód, ahogyan a Google megtalálta ezeket a hibákat, elég nyilvánvaló volt ahhoz, hogy valaki más könnyen rájuk botljon, talán anélkül, hogy komolyan gondolná, és rossz céllal kezdheti el használni őket?
Esetleg a hibákat a Google fedezte fel, mert valaki a vállalaton kívülről javasolta, hol kezdje el a keresést, ezzel arra utalva, hogy a sérülékenységet már ismerték a potenciális támadók, bár még nem jöttek rá, hogyan használják ki őket?
(Technikailag egy még ki nem használt sebezhetőség, amelyet a kiberbiztonsági szőlőből kiszúrt hibakeresési tippek miatt fedez fel, valójában nem nulladik nap, ha még senki sem jött rá, hogyan lehet visszaélni a lyukkal.)
Mit kell tenni?
Bármi legyen is az Apple oka, hogy az utolsó javítások után olyan gyorsan kihozza ezt a mini-frissítést, miért várna?
Az iPhone-unkon már frissítést erőltettünk; a letöltés kicsi volt, és a frissítés gyorsan és látszólag zökkenőmentesen ment.
Felhasználás beállítások > általános> szoftver frissítése iPhone és iPad készülékeken, valamint Apple menü > Erről a Macről > Szoftver frissítés… Mac gépeken.
Ha az Apple ezeket a javításokat más termékeihez kapcsolódó frissítésekkel követi, értesíteni fogjuk Önt.
- Apple
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- CVE-2022 40303-
- CVE-2022 40304-
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- tűzfal
- iOS
- Kaspersky
- malware
- McAfee
- Meztelen biztonság
- NexBLOC
- OS X
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- VPN
- sebezhetőség
- A honlap biztonsága
- zephyrnet