Apple ha distribuito silenziosamente più aggiornamenti a iOS per correggere una vulnerabilità di sicurezza zero-day sfruttata attivamente che ha corretto all'inizio di questo mese nei dispositivi più recenti. La vulnerabilità, rilevata in WebKit, può consentire agli aggressori di creare contenuto Web dannoso che consente l'esecuzione di codice in modalità remota (RCE) sul dispositivo di un utente.
Un aggiornamento rilasciato mercoledì, iOS 12.5.6, si applica ai seguenti modelli: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch di sesta generazione.
Il difetto in questione (CVE-2022-32893) è descritto da Apple come un problema di scrittura fuori limite in WebKit. È stato risolto nella patch con un controllo dei limiti migliorato. Apple ha riconosciuto che il bug è sotto exploit attivo e sta esortando gli utenti dei dispositivi interessati ad aggiornare immediatamente.
Apple aveva già corretto la vulnerabilità per alcuni dispositivi, insieme a un difetto del kernel tracciato come CVE-2022-32894. all'inizio di agosto in iOS 15.6.1. Quello è un aggiornamento che copriva iPhone 6S e successivi, iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad 5a generazione e successivi, iPad mini 4 e successivi e iPod touch (7a generazione).
L'ultimo round di patch sembra essere Apple che copre tutte le sue basi aggiungendo protezione per iPhone che eseguono versioni precedenti di iOS, ha osservato Paul Ducklin, sostenitore della sicurezza.
"Stiamo indovinando che Apple deve aver incontrato almeno alcuni utenti di alto profilo (o ad alto rischio, o entrambi) di telefoni più vecchi che sono stati compromessi in questo modo e hanno deciso di eliminare la protezione per tutti come precauzione speciale, " ha scritto in un post sul blog di Sophos Naked Security.
La doppia copertura da parte di Apple per correggere il bug in entrambe le versioni di iOS è dovuta al cambiamento in cui girano le versioni della piattaforma su cui girano gli iPhone, ha spiegato Ducklin.
Prima che Apple rilasciasse iOS 13.1 e iPadOS 13.1, iPhone e iPad utilizzavano lo stesso sistema operativo, denominato iOS per entrambi i dispositivi, ha affermato. Ora, iOS 12.x copre iPhone 6 e dispositivi precedenti, mentre iOS 13.1 e versioni successive funzionano su iPhone 6s e dispositivi rilasciati successivamente.
L'altro difetto zero-day che Apple ha corretto all'inizio di questo mese, CVE-2022-32894, era una vulnerabilità del kernel che può consentire l'acquisizione dell'intero dispositivo. Ma mentre iOS 13 è stato interessato da quel difetto - e quindi ha ottenuto una patch per esso nell'aggiornamento precedente - non influisce su iOS 12, ha osservato Ducklin, "che quasi certamente evita il rischio di compromissione totale del sistema operativo stesso" su precedenti dispositivi.
WebKit: un'ampia superficie di attacco informatico
WebKit è il motore del browser che alimenta Safari e tutti gli altri browser di terze parti che funzionano su iOS. Sfruttando CVE-2022-32893, un attore di minacce può creare contenuti dannosi in un sito Web. Quindi, se qualcuno visita il sito da un iPhone interessato, l'attore può eseguire malware in remoto sul proprio dispositivo.
WebKit in generale è stata una spina nel fianco persistente di Apple quando si trattava di esporre gli utenti a vulnerabilità perché si diffonde oltre iPhone e altri dispositivi Apple ad altri browser che lo utilizzano, inclusi Firefox, Edge e Chrome, mettendo potenzialmente a rischio milioni di utenti un dato bug.
"Ricorda che i bug di WebKit esistono, in parole povere, a livello del software sotto Safari, quindi il browser Safari di Apple non è l'unica app a rischio di questa vulnerabilità", ha osservato Ducklin.
Inoltre, qualsiasi app che visualizza contenuti Web su iOS per scopi diversi dalla navigazione generale, ad esempio nelle pagine della guida, nel suo "Di" schermo, o anche in un "minibrowser" integrato - utilizza WebKit sotto il cofano, ha aggiunto.
"In altre parole, il solo 'evitare Safari' e attenersi a un browser di terze parti non è una soluzione alternativa adatta [per i bug di WebKit]", ha scritto Ducklin.
Mela sotto attacco
Mentre gli utenti e i professionisti allo stesso modo hanno tradizionalmente considerato le piattaforme Mac e iOS di Apple più sicure di Microsoft Windows - e questo è generalmente vero per una serie di motivi - la marea sta cominciando a cambiare, dicono gli esperti.
In effetti, un panorama emergente di minacce che mostra un maggiore interesse nel prendere di mira tecnologie Web più onnipresenti e non il sistema operativo stesso ha allargato il bersaglio sulla schiena di Apple, secondo un rapporto di minaccia rilasciato a gennaio e la strategia di patch difensiva dell'azienda riflette questo.
Quest'anno Apple ha corretto almeno quattro difetti zero-day, con due patch per le precedenti vulnerabilità iOS e macOS in arrivo Gennaio e uno in Febbraio — l'ultimo dei quali ha risolto un altro problema sfruttato attivamente in WebKit.
Inoltre, l'anno scorso 12 delle 57 minacce zero-day che i ricercatori del Project Zero di Google rintracciato erano legati a Apple (vale a dire, più del 20%), con problemi che interessano macOS, iOS, iPadOS e WebKit.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
