Nel pacchetto di sicurezza odierno, Apple ha sanato la decima vulnerabilità zero-day da inizio anno, attivamente usata in attacchi contro iPhone. Il rilascio degli aggiornamenti di sicurezza di fine anno è imponente e riguarda iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 e macOS Ventura 13.1.
Significa che sono affetti dal bug tutti i modelli di iPhone 6s, di iPhone 7, iPhone SE di prima generazione, tutti i modelli di iPad Pro, iPad Air 2 e superiori, iPad di quinta generazione e superiori, iPad mini 4 e superiori, e iPod touch di settima generazione.
“Rispetto ad altri casi di aggiornamento ‘urgente’ promossi da Apple”, commenta Paolo Dal Checco, consulente informatico forense, “è interessante come in questo caso gli utenti sono stati resi edotti del fatto che le vulnerabilità alle quali la patch pone rimedio potrebbero essere state effettivamente sfruttate“.
“Il ritrovamento di ben 10 falle zero-day in sistemi come quelli Apple”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “e il fatto che queste falle siano attivamente sfruttate, dimostra l’elevato interesse di attori malevoli in queste vulnerabilità“. Ecco perché è urgente applicare le patch.
Indice degli argomenti
Apple sana la decima vulnerabilità zero-day da inizio 2022
Apple avverte che la vulnerabilità zero-day CVE-2022-42856, a rischio exploit e già attivamente usata per attaccare iPhone e gli altri dispositivi con le precedenti versioni del sistema operativo, il cui impatto è segnalato dalla comunità di riferimento come Grave/Rosso (75,38/100), richiede una patch urgente. Gli iPhone sono a rischio di esecuzione di codice da remoto e di scalare i privilegi.
La falla CVE-2022-42856 riguarda un problema di “type confusion” (che consente l’accesso a una risorsa in memoria utilizzando un file di tipo incompatibile) nel motore del browser Webkit di Apple. A scoprire la falla è stato Clément Lecigne del gruppo Threat Analysis di Google: permette a contenuti web malevoli di seguire codice arbitrario su un dispositivo vulnerabile.
“Non si tratta quindi di una debolezza rilevata e chiusa prima che qualcuno se ne accorgesse, ma di una reazione a una problematica che molto probabilmente ha causato danni a qualcuno”, continua Dal Checco, “e Apple ne è a conoscenza grazie a un report che cita nel documento accompagnatorio alla security update”.
Infatti, “‘Arbitrary Code Execution’ significa”, conclude Dal Checco, “che chiunque poteva, grazie alla creazione di una specifica pagina web, eseguire del codice sui dispositivi dell’utente che la visitasse, prendendo quindi potenzialmente il controllo del dispositivo. Nel chiudere tale falla, Apple ha anche approfittato per introdurre la nuova caratteristica dell’Advanced Data Protection per iCloud, tanto attesa dagli esperti di sicurezza o da chi tiene particolarmente alla propria privacy”.
“È essenziale condividere informazioni come sta facendo il team Google ed ovviamente cruciale aggiornare i dispositivi appena le patch sono disponibili”, conclude Paganini.
L’esecuzione di codice arbitrario potrebbe consentire a siti malevoli di eseguire comandi nel sistema operativo, per aprire le porte a malware o spyware, oppure per svolgere altre attività malevoli.
Le 10 falle zero-day finora sanate nel 2022
A gennaio, Apple ha rilasciato patch per un paio di zero-day a rischio di “kernel privileges” (CVE-2022-22587) e tracciamento di attività nella navigazione online (CVE-2022-22594).
Lo scorso febbraio, la Casa di Cupertino ha rilasciato update di sicurezza per un bug zero-day in WebKit, a rischio exploit su iPhone, iPad e Mac. A marzo, invece, ha sanato due vulnerabilità zero-day in Intel Graphics Driver (CVE-2022-22674) ed AppleAVD (CVE-2022-22675).
Ancora, ad agosto, sono stati due gli zero-day corretti nel Kernel di iOS (CVE-2022-32894) e WebKit (CVE-2022-32893). A settembre, una in iOS Kernel (CVE-2022-32917).
Infine, a ottobre, Apple ha rilasciato la patch per la falla zero-day in iOS Kernel (CVE-2022-42827).
Sono urgenti gli aggiornamenti di sicurezza
Gli update di sicurezza di Apple sono urgenti e molto importanti. Infatti, sono affetti dalle dalle i seguenti prodotti:
- iCloud for Windows (versioni precedenti alla 14.1);
- il browser Safari (prima della release 16.2);
- macOS Monterey (versioni precedenti alla 12.6.2);
- macOS Big Sur (versioni precedenti alla 11.7.2);
- tvOS (versioni precedenti alla 16.2);
- watchOS (precedenti alla 9.2);
- iOS e iPadOS (prima della release 15.7.2);
- iOS e iPadOS (prima della release 16.2);
- macOS Ventura (versioni precedenti alla 13.1).
