Apple in questi giorni ha aggiornato i sistemi operativi sui suoi dispositivi, precisamente patch di sicurezza per iOS, iPadOS, macOS, tvOS e per il browser Web Safari, il tutto per affrontare una nuova vulnerabilità zero-day che potrebbe causare l’esecuzione di codice dannoso.
Segnalato come CVE-2022-42856, il problema è stato descritto dal colosso della tecnologia come di “confusione” nel motore del browser WebKit che potrebbe essere attivato durante l’elaborazione di contenuti appositamente predisposti, portando all’esecuzione di codice malevolo.
Apple non è sempre stata tutta rosa e fiori come spesso molti vogliono far credere, ma questa è un’altra storia.
Prima di continuare, per chi non lo sapesse: lo zero-day non è che, citando Wikipedia: “una qualsiasi vulnerabilità di sicurezza informatica non espressamente nota allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico; definisce anche il programma – detto “exploit” – che sfrutta questa vulnerabilità informatica per consentire l’esecuzione anche parziale di azioni non normalmente permesse da chi ha progettato il sistema in questione.”
Ciò significa che la stessa Apple non ne era a conoscenza?
La società ha affermato di essere “a conoscenza di un rapporto secondo il quale questo problema potrebbe essere stato attivamente sfruttato sulle versioni di iOS rilasciate prima di iOS 15.1“.
Sebbene i dettagli sull’esatta natura degli attacchi siano ancora sconosciuti, è probabile che si tratti di un caso di ingegneria sociale (ossia “l’arte dell’inganno” per così dire) o di un particolare metodo per infettare i dispositivi quando si visita un dominio più o meno legittimo ma compromesso tramite il browser menzionato poco fa (WebKit).
Vale la pena far notare che tutti i browser Web di terze parti disponibili per iOS e iPadOS, inclusi Google Chrome, Mozilla Firefox e Microsoft Edge e altri, devono utilizzare il motore di rendering WebKit a causa delle restrizioni imposte da Apple.
Il merito di aver scoperto e segnalato il problema è di Clément Lecigne del Threat Analysis Group (TAG) di Google. Apple ha successivamente dichiarato di essere riuscita ad aggirare il bug con una miglioria alla gestione dello stato.
Gli aggiornamenti hanno risolto il problema o è in via di risoluzione, quindi?
L’aggiornamento, disponibile con iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 e Safari 16.2, arriva due settimane dopo che l’azienda “melata” ha corretto lo stesso bug in iOS 16.1.2 il 30 novembre 2022.
Sostanzialmente, si può dire che se in alcune versioni dei loro sistemi operativi è oramai risolto, sugli altri è comunque in via di risoluzione entro breve tempo.
La correzione segna la risoluzione della decima vulnerabilità zero-day scoperta nel software Apple dall’inizio dell’anno. È anche il nono difetto zero-day sfruttato attivamente da malintenzionati nel 2022; di seguito la lista delle altre nove problematiche (fortunatamente risolte successivamente) avute da Apple da inizio anno:
CVE-2022-22587 (IOMobileFrameBuffer): un’applicazione dannosa potrebbe essere in grado di eseguire codice potenzialmente malevolo sfruttando ed accedendo ai privilegi del kernel;
CVE-2022-22594 (Archiviazione WebKit), un sito Web potrebbe essere in grado di tenere traccia delle informazioni sensibili dell’utente (pubblicamente note ma non sfruttate attivamente);
CVE-2022-22620 (WebKit), tipologia di elaborazione di contenuti Web pericolosi che può portare all’esecuzione di codice potenzialmente dannoso;
CVE-2022-22674 (Intel Graphics Driver), un’applicazione potrebbe addirittura essere in grado di leggere la memoria (cache) del kernel;
CVE-2022-22675 (AppleAVD), un’applicazione che potrebbe essere in grado di eseguire codice potenzialmente malevolo con privilegi del kernel;
CVE-2022-32893 (WebKit), un’altra tipologia di contenuti Web pericolosi che può portare all’esecuzione di codice potenzialmente malevolo;
CVE-2022-32894 (Kernel), un’altra applicazione potrebbe essere in grado di eseguire codice potenzialmente dannoso con privilegi del kernel;
CVE-2022-32917 (Kernel), un’altra applicazione (ancora) che potrebbe essere in grado di eseguire codice potenzialmente malevolo che sfrutta privilegi del kernel;
CVE-2022-42827 (Kernel), come sopra l’ennesima applicazione che potrebbe eseguire codice malevolo con tanto di privilegi del kernel.
Gli ultimi aggiornamenti di iOS, iPadOS e macOS introducono anche una nuova funzionalità di sicurezza chiamata Advanced Data Protection per iCloud che espande la crittografia end-to-end (E2EE) a iCloud Backup, Note, Foto ed altro ancora.
————-
Contenuto pubblicato su tech.icrewplay.com Read More
