L'ultima raccolta di aggiornamenti di sicurezza di Apple è arrivata, incluso quello appena lanciato macOS 13 Avventura, che era accompagnato dal suo bollettino sulla sicurezza elencando ben 112 buchi di sicurezza numerati CVE.
Di questi, abbiamo contato 27 buchi di esecuzione di codice arbitrario, di cui 12 consentono l'iniezione di codice canaglia direttamente nel kernel stesso e uno consente l'esecuzione di codice non attendibile con privilegi di sistema.
Inoltre, ci sono due bug di elevazione dei privilegi (EoP) elencati per Ventura che presumiamo possano essere usati insieme ad alcuni, molti o tutti i restanti 14 bug di esecuzione di codice non di sistema per formare una catena di attacco che trasforma un exploit di esecuzione di codice a livello di utente in uno a livello di sistema.
iPhone e iPad a rischio reale
Tuttavia, questa non è la parte più critica di questa storia.
Il premio "pericolo chiaro e presente" va a iOS ed iPadOS, quale tieniti aggiornato alla versione 16.1 ed 16 rispettivamente, dove una delle vulnerabilità di sicurezza elencate consente l'esecuzione del codice del kernel da qualsiasi app ed è già attivamente sfruttata.
In breve, iPhone e iPad hanno bisogno di patch subito a causa di a kernel zero-day.
Apple non ha detto quale gruppo di criminalità informatica o società di spyware stia abusando di questo bug, soprannominato CVE-2022-42827, ma dato il prezzo elevato che gli zero-days di iPhone funzionano nel cyberunderworld, presumiamo che chiunque sia in possesso di questo exploit [a] sappia come farlo funzionare in modo efficace ed è improbabile che [b] attiri l'attenzione su di esso stesso , al fine di mantenere le vittime esistenti all'oscuro il più possibile.
Apple ha tirato fuori la sua solita osservazione standard secondo cui l'azienda "è a conoscenza di un rapporto che indica che questo problema potrebbe essere stato attivamente sfruttato", e questo è tutto.
Di conseguenza, non possiamo offrirti alcun consiglio su come verificare la presenza di segni di attacco sul tuo dispositivo: non siamo a conoscenza di cosiddetti IoC (indicatori di compromesso), come file strani nel backup, modifiche impreviste alla configurazione o voci di file di registro insolite che potresti essere in grado di cercare.
La nostra unica raccomandazione è quindi la nostra solita sollecitazione ad applicare patch in anticipo/spesso, andando a Impostazioni profilo > Generale > Aggiornamento software e scegliendo Scarica e installa se non hai già ricevuto le correzioni.
Perché aspettare che il tuo dispositivo trovi e suggerisca gli aggiornamenti stessi quando puoi saltare in testa alla coda e recuperarli subito?
Catalina è caduta?
Come potresti aver ipotizzato, dato che il rilascio di Ventura porta macOS alla versione 13, tre versioni fa macOS 10 Catalina non appare nell'elenco questa volta.
Apple in genere fornisce aggiornamenti di sicurezza solo per le versioni precedenti e precedenti di macOS, ed è così che sono state eseguite le patch qui, con le patch da prendere macOS 11 BigSur alla versione 11.7.1e macOS 12 Monterey alla versione 12.6.1.
Tuttavia, quelle versioni ottengono anche un aggiornamento separato elencato come Safari 16.1, che corregge diversi bug pericolosi in Safari e nella libreria software sottostante WebKit.
Ricorda che WebKit viene utilizzato non solo da Safari ma anche da qualsiasi altra app che si basa sul codice sottostante di Apple per visualizzare qualsiasi tipo di contenuto basato su HTML, inclusi i sistemi di aiuto, le schermate Informazioni e i "minibrowser" integrati, comunemente visti nella messaggistica app che offrono un'opzione per visualizzare file, pagine o messaggi HTML.
Apple watchOS ed TVOS ottengono anche numerose correzioni e i loro numeri di versione vengono aggiornati a Guarda 9.1 ed TVOS 16.1 rispettivamente.
Cosa fare?
La buona notizia è che è probabile che solo i primi utenti e sviluppatori di software utilizzino già Ventura, come parte dell'ecosistema Beta di Apple.
Tali utenti dovrebbero aggiornare il prima possibile, senza attendere un promemoria del sistema o l'avvio dell'aggiornamento automatico, dato l'enorme numero di bug corretti.
Se non sei su Ventura ma intendi aggiornare subito, la tua prima esperienza con la nuova versione includerà automaticamente le 112 patch CVE sopra menzionate, quindi la versione upgrade includerà automaticamente la sicurezza necessaria aggiornamenti.
Se hai intenzione di rimanere con la versione precedente o precedente di macOS ancora per un po' (o se, come noi, hai un Mac più vecchio che non può essere aggiornato), non dimenticare che hai bisogno di due aggiornamenti: uno specifico per Big Sur o Monterey e l'altro un aggiornamento per Safari che è lo stesso per entrambe le versioni del sistema operativo.
Riassumere:
- Su iOS o iPad OS, usare urgentemente Impostazioni profilo > Generale > Aggiornamento software
- Su macOS, uso Menu Apple > Informazioni su questo Mac > Aggiornamento software...
- macOS 13 Ventura Beta gli utenti dovrebbero aggiornare immediatamente alla versione completa.
- Utenti di Big Sur e Monterey chi esegue l'aggiornamento a Ventura ottiene contemporaneamente le correzioni di sicurezza di macOS 13.
- macOS 11 BigSur va a 11.7.1, e ha bisogno Safari 16.1 come pure.
- macOS 12 Monterey va a 12.6.1, e ha bisogno Safari 16.1 come pure.
- watchOS va a 9.1.
- TVOS va a 16.1.
Nota che macOS 10 Catalina non riceve aggiornamenti, ma presumiamo che sia perché è la fine del percorso per gli utenti di Catalina, non perché è ancora supportato ma era immune da qualsiasi bug trovato nelle versioni successive.
Se abbiamo ragione, gli utenti Catalina che non possono aggiornare i loro Mac sono bloccati con l'esecuzione di software Apple sempre più obsoleti per sempre o con il passaggio a un sistema operativo alternativo come una distribuzione Linux che è ancora supportata sul proprio dispositivo.
Collegamenti rapidi ai bollettini sulla sicurezza di Apple:
- APPLE-SA-2022-10-24-1: HT213489 per iOS 16.1 e iPadOS 16
- APPLE-SA-2022-10-24-2: HT213488 per macOS Ventura 13
- APPLE-SA-2022-10-24-3: HT213494 per macOS Monterey 12.6.1
- APPLE-SA-2022-10-24-4: HT213493 per macOS Big Sur 11.7.1
- APPLE-SA-2022-10-24-5: HT213491 per watchOS 9.1
- APPLE-SA-2022-10-24-6: HT213492 per tvOS 16.1
- APPLE-SA-2022-10-24-7: HT213495 per Safari 16.1
- 0 giorno
- Apple
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- CVE-2022-42827
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- Sfruttare
- firewall
- iOS
- iPad
- iPhone
- Kaspersky
- Mac
- il malware
- Mcafee
- Sicurezza nuda
- NextBLOC
- OS X
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
- zer-giorno
![S3 Ep105: NON RISOLVERE! Il cryptofail di MS Office che “non è una falla di sicurezza” [Audio + Testo] PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pic-1200-360x188.png "S3 Ep105: NON RISOLVERE! Il cripto-errore di MS Office che \"non è un difetto di sicurezza\" [Audio + Text]")
![S3 Ep115: Storie di crimini veri – Una giornata nella vita di un combattente del crimine informatico [audio + testo] PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: True crime stories – Un giorno nella vita di un combattente del crimine informatico [audio + testo]")
