Aggiornamenti alla storia dell'aggiornamento zero-day di Apple: gli utenti di iPhone e iPad lo leggono!

I lettori abituali sapranno due cose sul nostro atteggiamento nei confronti delle patch di sicurezza di Apple:

• Ci piace riceverli il prima possibile. Che si tratti di un aggiornamento della versione completa che include anche una serie di correzioni di sicurezza, o di un rilascio puntuale (uno in cui il numero di versione più a sinistra non cambia) con lo scopo principale di correggere i bug piuttosto che aggiungere nuove funzionalità, preferiremmo sbagliare il lato dell'applicazione di soluzioni di sicurezza note piuttosto che lasciare i nostri dispositivi con buchi di cui ora sono a conoscenza gli aggressori, anche se non sanno ancora come sfruttarli.
• Tuttavia, molto spesso troviamo i bollettini di Apple confusi. Ad esempio, non sai mai dove ti trovi se sei bloccato su una versione che questa volta non ha ricevuto un aggiornamento.

Gli ultimi bollettini sulla sicurezza di Apple, che sono usciti all'inizio di questa settimana, sembrano esemplificare come l'azienda a volte sembri aumentare la confusione dicendo troppo poco... che non è sempre una felice alternativa allo scoprire troppo:

Confusione emergente

Sulla base delle richieste e dei commenti che abbiamo ricevuto dai lettori negli ultimi giorni, è emersa la seguente confusione:

• Perché un unico bollettino sulla sicurezza descriveva gli aggiornamenti denominati iOS 16.1 e iPadOS 16? Sappiamo che iPadOS 16 è stato ritardato, quindi questo recente aggiornamento significava che iPadOS ora veniva aggiornato solo allo stesso livello di sicurezza di iOS 16, uscito più di un mese fa, mentre iOS è avanzato a 16.1, lasciando così iPadOS più di cinque settimane alla deriva in termini di sicurezza informatica?
• Perché iPadOS 16 alla fine si è segnalato come versione 16.1? (Grazie a Stefaan dal Belgio per aver catturato schermate del processo di aggiornamento del suo iPad e per averle inviate.) Dopo l'aggiornamento, il About a quanto pare lo schermo dice iPadOS 16, come ha fatto il bollettino sulla sicurezza, mentre il iPadOS Version lo schermo dice esplicitamente 16.1. Sembra che ora iPhone e iPad non solo supportino entrambi "la famiglia di versioni nota come 16", ma entrambi abbiano anche le ultime correzioni di sicurezza, quindi perché non chiamare semplicemente entrambi la versione 16.1 ovunque per chiarezza, anche nel bollettino sulla sicurezza e sul About schermo?
• Dov'è finito macOS 10 Catalina? Tradizionalmente, Apple interrompe il supporto per macOS versione X-3 quando esce la versione X, ma è questa la vera spiegazione del motivo per cui macOS 11 Big Sur e macOS 12 Monterey (rispettivamente versioni X-2 e X-1) hanno ricevuto aggiornamenti mentre Catalina non lo ha fatto t?
• Cosa è successo a iOS/iPadOS 15.7.1? Quando iOS 16 è uscito a settembre 2022, anche la famiglia di versioni precedenti ha ricevuto aggiornamenti critici, portandola alla versione 15.7. Ciò includeva una correzione critica per chiudere a buco zero-day a livello di kernel sotto sfruttamento attivo, che spesso si traduce come "qualcuno là fuori sta intrufolando spyware su iPhone, gente". Quindi, dato che iOS 16.1 incluso ancora un altro correzione zero-day del kernel, forse chiudendo una strada sfruttata da ancora più spyware, dov'era la patch corrispondente per la famiglia iOS/iPadOS 15, che per analogia presumeresti sarebbe 15.7.1?

Come abbiamo detto in il podcast di ieri, di fronte alla quarta domanda di cui sopra da un lettore preoccupato, la nostra breve risposta è stata semplicemente: "DUCK: non lo so./DOUG: chiaro come il fango".

A volte, i bug di sicurezza nella versione del sistema operativo X semplicemente non si applicano alla versione X-1, ad esempio perché i bug esistono solo nel codice che è stato aggiunto, o solo esposto a pericolo, nelle versioni più recenti.

Ma abbiamo anche visto che Apple non riesce a produrre aggiornamenti per le versioni precedenti per altri due motivi, [a] perché un aggiornamento è veramente necessario, ma si è rivelato troppo complicato da preparare e testare in tempo, oppure [b] perché la versione precedente era ora considerata fuori supporto e non avrebbe ricevuto un aggiornamento, necessario o meno.

E con i bollettini sulla sicurezza di Apple che parlano quasi sempre solo delle patch disponibili in questo momento, gli aggiornamenti mancanti regolarmente rimangono un mistero inspiegabile (e inspiegabile).

Una raffica di bollettini

Ebbene, questa mattina abbiamo ricevuto un'esplosione di 15 e-mail di bollettini sulla sicurezza da Apple, la maggior parte delle quali elencava molti dei bug e problemi di sicurezza numerati CVE segnalati nei bollettini che avevamo già visto all'inizio della settimana.

Nessuno di loro ha chiarito direttamente le prime tre domande di cui sopra, anche se ora assumiamo che il motivo per cui Apple si riferiva a "iPadOS 16" così come a "iPadOS 16.1" fosse un tentativo forse fuorviante di trasmettere l'informazione che iPadOS stava ora ottenendo il suo ritardo upgrade alla versione 16 della famiglia, oltre a ottenere un update equivalenti nelle correzioni di sicurezza al nuovo iOS 16.1.

Ma il primissimo bollettino dell'ultima salva di Apple ha risolto l'ultima domanda sopra elencata, annunciando iOS/iPadOS 15.7.1, che risulta essere un correzione critica:

APPLE-SA-2022-10-27-1: iOS 15.7.1 e iPadOS 15.7.1 iOS 15.7.1 e iPadOS 15.7.1 risolvono i seguenti problemi. Le informazioni sul contenuto di sicurezza sono disponibili anche all'indirizzo https://support.apple.com/HT213490. [. . .] Kernel Disponibile per: iPhone 6s e successivi, iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad 5a generazione e successivi, iPad mini 4 e successivi e iPod touch (7a generazione) Impatto: un'applicazione potrebbe essere in grado di per eseguire codice arbitrario con privilegi del kernel. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato. Descrizione: un problema di scrittura fuori limite è stato risolto migliorando il controllo dei limiti. CVE-2022-42827: un ricercatore anonimo

Quindi, iOS/iPadOS 15 è ancora supportato, e se non hai morso il proiettile e non hai aggiornato a iOS 16.1 (o all'iPadOS 16-che-è-anche-16.1), chiamato scismicamente, all'inizio della settimana...

...allora dovresti assicurarti di te ottieni subito iOS/iPadOS 15.7.1, perché il buco zero-day del kernel CVE-2022-42827 risolto in iOS 16.1 è proprio lì in iOS/iPadOS 15.7, sotto sfruttamento attivo.

In altre parole, questo è stato uno di quei casi in cui il motivo dell'aggiornamento mancante qualche giorno fa era quasi sicuramente semplicemente che le patch non erano pronte in tempo.

Cosa fare?

TL;DR se sei un utente iPhone o iPad: se sei ancora su iOS/iPadOS versione principale 15, vai a Impostazioni profilo > Generale > Aggiornamento della protezione subito.

Controlla anche se hai attivato gli aggiornamenti automatici e ricorda non solo di approvare il download se non lo hai già, ma anche di forzare il tuo dispositivo attraverso la fase di installazione, che richiede uno o più riavvii (e lo fa, ovviamente, metti offline il tuo telefono o tablet per un po').

TL; DR se sei Apple: un po' più di chiarezza farebbe molto nei bollettini sulla sicurezza, soprattutto quando si sa che un aggiornamento critico è l'ali per gli utenti delle versioni precedenti o che non avranno bisogno di un aggiornamento perché la loro versione non è interessata.

A proposito, se hai deciso di passare a iOS/iPadOS 16.1 all'inizio di questa settimana, solo per sicurezza...

...ora non puoi tornare a iOS/iPadOS 15.7.1, perché Apple non consente i downgrade.

(I downgrade facilitano il jailbreak, che Apple mira a prevenire, e in ogni caso richiederebbe prima una cancellazione completa dei dati per evitare che un downgrade venga utilizzato come bypass di sicurezza malevolo "porta il tuo bug" per esfiltrare informazioni personali.)

---