Apple corregge il bug del browser "0 giorni" risolto 2 settimane fa in Chrome, Edge PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

Apple corregge il bug del browser "0-day" risolto 2 settimane fa in Chrome, Edge

Timestamp: 21 luglio 2022 8:38

by
Paul Ducklin

Apple ha rigettato le sue ultime patch, risolvendo più di 50 vulnerabilità di sicurezza numerate CVE nella sua gamma di prodotti supportati.

I bollettini sulla sicurezza pertinenti, i numeri di aggiornamento e dove trovarli online sono i seguenti:

  • APPLE-SA-2022-07-20-1: iOS 15.6 e iPadOS 15.6, dettagli su HT213346
  • APPLE-SA-2022-07-20-2: macOS Monterey 12.5, dettagli su HT213345
  • APPLE-SA-2022-07-20-3: macOS Big Sur 11.6.8, dettagli su HT213344
  • APPLE-SA-2022-07-20-4: Aggiornamento di sicurezza 2022-005 Catalina, dettagli su HT213343
  • APPLE-SA-2022-07-20-5: TV OS 15.6, dettagli su HT213342
  • APPLE-SA-2022-07-20-6: guarda OS 8.7, dettagli su HT213340
  • APPLE-SA-2022-07-20-7: Safari 15.6 dettagli su HT213341

Come al solito con Apple, le patch del browser Safari sono incluse negli aggiornamenti per l'ultimo macOS (Monterey), nonché negli aggiornamenti per iOS e iPad OS.

Ma gli aggiornamenti per le versioni precedenti di macOS non includono Safari, quindi l'aggiornamento autonomo di Safari (vedi HT213341 sopra) si applica quindi agli utenti delle versioni precedenti di macOS (sia Big Sur che Catalina sono ancora ufficialmente supportati), che dovranno scaricare e installare due aggiornamenti, non solo uno.

Uno zero-day onorario

A proposito, se hai un Mac con una versione precedente di macOS, non dimenticare quel secondo download per Safari, perché è di vitale importanza, almeno per quanto possiamo vedere.

Questo perché una delle patch relative al browser in questo round di aggiornamenti si occupa di una vulnerabilità in WebRTC (comunicazioni web in tempo reale) conosciuto come CVE-2022-2294...

... e se quel numero suona familiare, dovrebbe, perché è lo stesso bug che era fissato come giorno zero da Google in Chrome (e da Microsoft in Edge) circa due settimane fa:

Curiosamente, Apple non ha dichiarato nessuna delle vulnerabilità di questo mese come "riportata in natura" o come "bug zero-day", nonostante la suddetta patch sia stata soprannominata un buco zero-day da Google.

Se è perché il bug non è così facile da sfruttare in Safari, o semplicemente perché nessuno ha fatto risalire alcun comportamento scorretto specifico di Safari a questo particolare difetto, non possiamo dirtelo, ma lo stiamo trattando come un "onorario zero-day” e di conseguenza patchare con zelo.

Pwn2Proprio foro chiuso

Apparentemente Apple ha anche corretto il bug trovato dal ricercatore tedesco di sicurezza informatica Manfred Paul al recente concorso Pwn2Own in Canada, nel maggio 2022.

Manfred Paul ha sfruttato Firefox con un bug in due fasi che gli è valso $ 100,000 ($ 50,000 per ogni parte), ed è entrato anche in Safari, per un'ulteriore taglia di $ 50,000.

In effetti, Mozilla ha pubblicato la sua correzione per i bug di Paul entro due giorni di aver ricevuto il suo rapporto su Pwn2Own:

Apple, al contrario, ha impiegato due mesi per consegnare la sua patch post-Pwn2Own:

WebKit

Impatto: L'elaborazione di contenuti Web dannosi può portare all'esecuzione di codice arbitrario

Descrizione: Un problema di scrittura fuori limite è stato risolto con una migliore convalida dell'input.

CVE-2022-32792: Manfred Paul (@_manfp) in collaborazione con Trend Micro Zero Day Initiative [Pwn2Own]

Ricorda, tuttavia, che la divulgazione responsabile fa parte della competizione Pwn2Own, il che significa che chiunque richieda un premio è tenuto non solo a consegnare tutti i dettagli del proprio exploit al venditore interessato, ma anche a tacere sulla vulnerabilità fino a quando la patch non sarà scaduta .

In altre parole, per quanto lodevole ed entusiasmante possa essere stato il tempo di consegna delle patch di Mozilla di due giorni, la risposta molto più lenta di Apple è comunque accettabile.

I flussi video in diretta che potresti aver visto da Pwn2Own sono serviti per indicare se l'attacco di ciascun concorrente ha avuto successo, piuttosto che per rivelare informazioni su come funzionava effettivamente l'attacco. I display video utilizzati dai concorrenti davano le spalle alla telecamera, in modo da poter vedere i volti dei concorrenti e dei giudici, ma non quello che stavano digitando o guardando.

Attacchi a più stadi

Come al solito, i numerosi bug corretti da Apple in questi aggiornamenti includono vulnerabilità che potrebbero, in teoria, essere concatenate insieme da determinati aggressori.

Un bug elencato con la condizione that "un'app con privilegi di root potrebbe essere in grado di eseguire codice arbitrario con privilegi di kernel" all'inizio non sembra terribilmente preoccupante.

Dopotutto, se un utente malintenzionato ha già i poteri di root, ha comunque praticamente il controllo del tuo computer.

Ma quando noti un bug in altre parti del sistema che è elencato con l'avviso that "un'app potrebbe essere in grado di ottenere i privilegi di root", puoi vedere come quest'ultima vulnerabilità potrebbe essere un trampolino di lancio conveniente e non autorizzato verso la prima.

E quando noti anche un bug di rendering delle immagini descritto come "l'elaborazione di un file dannoso può portare all'esecuzione di codice arbitrario", puoi vedere subito che:

  • Una pagina Web con trappole esplosive potrebbe contenere un'immagine che avvia codice non attendibile.
  • Quel codice non affidabile potrebbe impiantare un'app con privilegi bassi.
  • L'app indesiderata potrebbe acquisire poteri di radice per se stesso.
  • L'app now-root potrebbe iniettare il proprio codice canaglia nel kernel.

In altre parole, almeno in teoria, solo guardando un sito web apparentemente innocente...

...potrebbe farti precipitare in una cascata di guai, proprio come dice il famoso proverbio, “Per mancanza di un chiodo, la scarpa è andata perduta; per mancanza di un ferro, il cavallo era perso; per mancanza di un cavallo, il messaggio era perso; per mancanza di un messaggio, la battaglia era persa... tutto per mancanza di un chiodo a ferro di cavallo.

Cosa fare?

Ecco perché, come sempre, ti consigliamo di applicare la patch in anticipo; patch spesso; rattoppare tutto.

Apple, a suo merito, rende il patching tutto predefinito: non puoi scegliere quali patch distribuire e quali lasciare "per dopo".

L'unica eccezione a questa regola, come abbiamo notato sopra, è che per macOS Big Sur e macOS Catalina, riceverai la maggior parte degli aggiornamenti del sistema operativo in un download gigantesco, seguito da un processo separato di download e aggiornamento per installare il ultima versione di Safari.

Come di solito:

  • Sul tuo iPhone o iPad: Impostazioni profilo > Generale > Aggiornamento software
  • Sul tuo Mac: Menu Apple > Informazioni su questo Mac > Aggiornamento software...

Timestamp:

Di più da Sicurezza nuda