Language
Le patch Apple sfruttano bug di sicurezza nel kernel e nel Webkit • The Register
CasaCasa > Notizia > Le patch Apple sfruttano bug di sicurezza nel kernel e nel Webkit • The Register
ULTIME NOTIZIE

Le patch Apple sfruttano bug di sicurezza nel kernel e nel Webkit • The Register

Jul 15, 2023

Apple ha rilasciato correzioni per diverse falle di sicurezza che colpiscono i suoi iPhone, iPad, computer macOS, Apple TV e orologi e ha avvertito che alcuni di questi bug sono già stati sfruttati.

Ecco un breve elenco di tutti gli aggiornamenti di sicurezza rilasciati nel tardo pomeriggio di lunedì:

Martedì anche la Cybersecurity and Infrastructure Security Agency (CISA) del governo americano ha lanciato l'allarme, avvertendo che "un utente malintenzionato potrebbe sfruttare alcune di queste vulnerabilità per prendere il controllo di un dispositivo interessato". CISA ha esortato gli utenti e gli amministratori ad applicare gli aggiornamenti software e a verificare che i sistemi di patch automatici funzionino correttamente. Noi condividiamo questa opinione.

Uno dei bug, CVE-2023-32409, nel motore del browser WebKit di Apple, colpisce iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione). Questo è stato scoperto da Clément Lecigne del Threat Analysis Group (TAG) di Google e Donncha Ó Cearbhaill del Security Lab di Amnesty International.

"Un utente malintenzionato remoto potrebbe essere in grado di uscire dalla sandbox del contenuto Web", secondo l'avviso di iGiant. "Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente."

Apple afferma di aver risolto il problema migliorando i controlli dei limiti. E anche se il colosso della tecnologia non fornisce mai dettagli su come è stata sfruttata la vulnerabilità, o da chi, i cacciatori di bug che hanno individuato il software dannoso sembrerebbero indicare che viene utilizzato per distribuire spyware sui dispositivi delle vittime.

TAG tiene traccia di oltre 30 produttori di spyware commerciali che vendono exploit e software di sorveglianza. Giornalisti, attivisti e dissidenti politici tendono a essere presi di mira da snoopware, che Amnesty è molto interessata a esaminare attentamente.

In questo stesso gruppo di aggiornamenti di sicurezza, Apple ha affermato di aver corretto un bug a livello di kernel, CVE-2023-38606, per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2 , iPad mini (4a generazione) e iPod touch (7a generazione). A quanto pare, questo difetto è stato probabilmente sfruttato in natura.

"Un'app potrebbe essere in grado di modificare lo stato sensibile del kernel", ha avvertito il produttore di iPhone. "Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente contro versioni di iOS rilasciate prima di iOS 15.7.1."

Apple attribuisce ai ricercatori di Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko e Boris Larin il merito di aver trovato questo bug, che assomiglia alla vulnerabilità del kernel utilizzata per infettare gli iPhone con lo spyware TriangleDB, scoperto anch'esso dal suddetto team.

Quest'ultimo bug del kernel, CVE-2023-38606, colpisce anche molti altri prodotti Apple, inclusi i Mac con macOS Ventura, Monterey e Big Sur, Apple Watch Series 4 e versioni successive, Apple TV 4K (tutti i modelli) e Apple TV HD.

Ci è stato detto che anche un'altra vulnerabilità in WebKit, in tvOS 16, watchOS 9.6, macOS Ventura, iOS 16 e iPadOS 16, tracciata come CVE-2023-37450, potrebbe essere stata sfruttata prima che Apple inviasse le patch. Il difetto, segnalato da un ricercatore anonimo, si verifica durante l'elaborazione dei contenuti web, il che può portare all'esecuzione arbitraria di codice. Le patch sono disponibili per tutti i modelli Apple TV 4K, box Apple TV HD, Apple Watch Series 4 e versioni successive e Mac con Ventura.

In precedenza, Apple aveva risolto lo stesso problema in alcuni iPhone e iPad tramite una “risposta rapida di sicurezza” in iOS 16.5.1 (c) e iPadOS 16.5.1 (c). Questi sono il nuovo tipo di patch che Apple ha iniziato a lanciare a maggio, con risultati contrastanti.

Le patch dovrebbero essere scaricate e applicate automaticamente per proteggere immediatamente i dispositivi dallo sfruttamento, evitando così il consueto ciclo di aggiornamento del sistema che gli utenti potrebbero rimandare o perdere, lasciando così vulnerabile il proprio kit. ®

Mandaci notizie

1313Prendi il nostro13