È stata rilasciata la versione 12.5.7 di iOS contenente la patch per correggere la vulnerabilità zero-day tracciata come CVE-2022-42856 con impatti sulle vecchie versioni di iPhone e iPad: l’aggiornamento dei dispositivi è urgente, in quanto il bug risulta essere già attivamente sfruttato in attacchi mirati.
Ricordiamo che già lo scorso 12 dicembre 2022 Apple aveva rilasciato un aggiornamento per la stessa vulnerabilità: in quel caso, l’aggiornamento riguardava le versioni dei sistemi operativi iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 e macOS Ventura 13.1 e ha interessato tutti i modelli di iPhone 6s, di iPhone 7, iPhone SE di prima generazione, tutti i modelli di iPad Pro, iPad Air 2 e superiori, iPad di quinta generazione e superiori, iPad mini 4 e superiori, e iPod touch di settima generazione.
Evidentemente, la stessa Apple è nel frattempo venuta a conoscenza di attacchi attivi in corso anche verso le versioni più vecchie di iPhone e iPad e per questo ha rilasciato l’aggiornamento di sicurezza per iOS 12.5.7 risolvendo la vulnerabilità zero-day sugli iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (di sesta generazione).
Indice degli argomenti
Dettagli della zero-day sui vecchi iPhone e iPad
Nei dettagli del bollettino di sicurezza pubblicato da Apple si legge che la vulnerabilità zero-day CVE-2022-42856 riguarda il motore di rendering Webkit usato nei browser di Apple ed è un problema di “type confusion”: in quanto tale, dunque, consente l’accesso a una risorsa in memoria utilizzando un file di tipo incompatibile.
Se sfruttata con successo, potrebbe consentire a contenuti Web malevoli di eseguire codice arbitrario sui dispositivi vulnerabili nel momento in cui la potenziale vittima dovesse collegarsi alla pagina che li contiene, permettendo a un eventuale attaccante di prendere potenzialmente il controllo dei dispositivi stessi e di aprire le porte a malware o spyware, oppure per svolgere altre attività malevoli
Aggiorniamo subito gli iPhone e iPad
Lo sfruttamento attivo della vulnerabilità zero-day CVE-2022-42856 rende particolarmente urgente l’applicazione del nuovo aggiornamento.
Per installare la patch è sufficiente accedere al menu Impostazioni dell’iPhone o dell’iPad, spostarsi nella sezione Generali e poi in Aggiornamento software, quindi selezionare la voce Scarica e installa.
Altri aggiornamenti di sicurezza Apple
Nella giornata di ieri Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità che interessano i propri prodotti:
- Safari, versioni precedenti alla 16.3;
- macOS Monterey, versioni precedenti alla 12.6.3;
- macOS Big Sur, versioni precedenti alla 11.7.3;
- watchOS, versioni precedenti alla 9.3;
- iOS 12.5.x, versioni precedenti alla 12.5.7;
- iOS e iPadOS 15.7.x, versioni precedenti alla 15.7.3;
- iOS e iPadOS 16.x, versioni precedenti alla 16.3;
- macOS Ventura, versioni precedenti alla 13.2.
Apple iOS 16.3 supporta le chiavi di sicurezza hardware
Da segnalare anche il rilascio da parte di Apple di iOS 16.3 con il tanto atteso supporto per le chiavi di sicurezza hardware per fornire una maggiore protezione contro gli attacchi di phishing e l’accesso non autorizzato ai dispositivi.
Questi dispositivi, infatti, possono essere utilizzati come ulteriore fase di verifica quando si utilizza l’autenticazione a due fattori per gli ID Apple, invece del normale codice di verifica a sei cifre visualizzato sui dispositivi e dunque possono essere molto utili proprio per contrastare gli attacchi di phishing mirati al furto delle credenziali dell’ID Apple e dei codici di accesso unico inviati tramite le verifiche 2FA.
Per impostare l’autenticazione tramite chiave di sicurezza su un iPhone occorre accedere al menu Impostazioni, selezionare il proprio nome utente, spostarsi poi nella sezione Password e sicurezza e selezionare Aggiungi chiave di sicurezza. Quindi, è sufficiente seguire le istruzioni mostrate a video per completare la configurazione del proprio modello di chiave di sicurezza.
Al momento, la nuova funzionalità di sicurezza dovrebbe funzionare sui seguenti modelli di chiavi di sicurezza hardware: YubiKey 5 NFC, YubiKey 5C NFC, YubiKey 5Ci, Google Titan e FEITAN ePass K9 NFC.
