Apple ha rilasciato un aggiornamento di sicurezza giovedì, con patch di emergenza (per macOS Monterey 12.5.1, iOS 15.6.1 e iPadOS 15.6.1), come azione di mitigazione di due importanti vulnerabilità, pesantemente sfruttabili da cyber-criminali nei suoi sistemi operativi di punta.
Ciò ha chiaramente implicazioni di ampia portata. I prodotti Apple sono diventati un pilastro della vita di tutti i giorni, il riconoscimento facciale, le app bancarie, i dati sanitari, praticamente tutto ciò che ci sta a cuore risiede nei nostri prodotti Apple. E ora è a forte rischio di attacco, se non installiamo subito gli aggiornamenti disponibili.
Indice degli argomenti
Apple iPhone, i due bug
Secondo quanto riportato, le due patch interessano iPhone 6s e successivi, tutti i modelli di iPad Pro, iPad Air 2 e successivi, iPad V generazione e successivi, iPad mini 4 e successivi e iPod touch 7
Il primo bug viene tracciato come CVE-2022-32894. Si tratta di una vulnerabilità di scrittura fuori limite nel kernel del sistema operativo. Questo problema, non facilmente sfruttabile (si tratta infatti di attacchi ben mirati e di livello sofisticato per poter riuscire con successo nello sfruttamento) è stato risolto, a detta di Apple stessa, migliorando il controllo dei limiti.
Un’applicazione, come un malware, potrebbe sfruttare questa vulnerabilità per esecuzione codice da remoto (RCE) con privilegi del kernel.
Poiché questo è il più alto livello di privilegio, un processo può eseguire qualsiasi comando su un dispositivo, assumendone effettivamente il pieno controllo.
Il secondo bug zeroday scovato, chiamato CVE-2022-32893, è una vulnerabilità di overflow in WebKit, il motore del browser Web utilizzato da Safari e altre applicazioni per il Web.
Apple afferma che quest’ultima vulnerabilità consentirebbe a un utente malintenzionato di eseguire codice arbitrario e potrebbe essere implementata in remoto durante una visita ad un sito Web dannoso sviluppato ad hoc.
Necessario aggiornare subito
Gli errori sono stati segnalati da ricercatori anonimi. Come da politica aziendale ben consolidata ormai, Apple non ha rilasciato alcun dettaglio sulle operazioni in tempo reale o alcun indicatore di compromissione utile a carpirne dettagli.
È probabile che questi zeroday siano stati utilizzati in attacchi mirati e vista l’applicazione di vulnerabilità che viene retrodatata fino ad iPhone 6S (si parla del 2015!) è possibile che siano noti da diverso tempo, ma si consiglia comunque di installare gli ultimi aggiornamenti di sicurezza il prima possibile, come unica azione di mitigazione davvero efficace.
Sfortunatamente, viviamo in un mondo in cui coloro che sviluppano software devono continuamente introdurre correzioni. Allo stesso modo, anche gli utenti devono applicare quelle patch, spesso (come ora) con una certa urgenza per superare le vulnerabilità.
