Apple sta esortando gli utenti di macOS, iPhone e iPad a installare immediatamente i rispettivi aggiornamenti questa settimana che includono correzioni per due zero-day sotto attacco attivo. Le patch riguardano le vulnerabilità che consentono agli aggressori di eseguire codice arbitrario e infine di prendere il controllo dei dispositivi.
Le patch sono disponibili per i dispositivi interessati in esecuzione iOS 15.6.1 ed macOS Monterey 12.5.1. Le patch risolvono due difetti, che sostanzialmente influiscono su qualsiasi dispositivo Apple in grado di eseguire iOS 15 o la versione Monterey del suo sistema operativo desktop, secondo gli aggiornamenti di sicurezza rilasciati da Apple Wednesday.
Uno dei difetti è un bug del kernel (CVE-2022-32894), presente sia in iOS che in macOS. Secondo Apple si tratta di un "problema di scrittura fuori limite [che] è stato risolto con un migliore controllo dei limiti".
La vulnerabilità consente a un'applicazione di eseguire codice arbitrario con privilegi del kernel, secondo Apple, che, in modo usuale, ha affermato che esiste un rapporto secondo cui "potrebbe essere stato attivamente sfruttato".
Il secondo difetto è identificato come un bug di WebKit (tracciato come CVE-2022-32893), che è un problema di scrittura fuori limite che Apple ha risolto con un migliore controllo dei limiti. Il difetto consente l'elaborazione di contenuti Web dannosi che possono portare all'esecuzione di codice e, secondo Apple, è stato anche segnalato che è sotto exploit attivo. WebKit è il motore del browser che alimenta Safari e tutti gli altri browser di terze parti che funzionano su iOS.
Scenario simile a Pegaso
La scoperta di entrambi i difetti, di cui si sa poco più oltre la divulgazione di Apple, è stata attribuita a un ricercatore anonimo.
Un esperto ha espresso preoccupazione per il fatto che gli ultimi difetti di Apple "potrebbero effettivamente fornire agli aggressori il pieno accesso al dispositivo", potrebbero creare a Simile a Pegaso scenario simile a quello in cui gli APT degli stati-nazione hanno sbarrato gli obiettivi con spyware realizzato da Israeli NSO Group sfruttando una vulnerabilità di iPhone.
"Per la maggior parte delle persone: aggiorna il software entro la fine della giornata", tweeted Rachel Tobac, CEO di SocialProof Security, per quanto riguarda gli zero-day. "Se il modello di minaccia è elevato (giornalista, attivista, preso di mira dagli stati nazionali, ecc.): aggiornalo ora", ha avvertito Tobac.
I giorni zero abbondano
I difetti sono stati svelati insieme ad altre notizie di Google questa settimana stava rattoppare il suo quinto zero-day finora quest'anno per il suo browser Chrome, un bug di esecuzione di codice arbitrario sotto attacco attivo.
La notizia di un numero ancora maggiore di vulnerabilità dei principali fornitori di tecnologia sbarrato da attori delle minacce dimostra che, nonostante i migliori sforzi delle società tecnologiche di alto livello per affrontare i problemi perenni di sicurezza nei loro software, rimane una battaglia in salita, ha osservato Andrew Whaley, direttore tecnico senior di Promon, una società norvegese di sicurezza delle app.
I difetti di iOS sono particolarmente preoccupanti, data l'ubiquità degli iPhone e l'assoluta dipendenza degli utenti dai dispositivi mobili per la loro vita quotidiana, ha affermato. Tuttavia, l'onere non spetta solo ai fornitori di proteggere questi dispositivi, ma anche agli utenti di essere più consapevoli delle minacce esistenti, ha osservato Whaley.
"Sebbene tutti facciamo affidamento sui nostri dispositivi mobili, non sono invulnerabili e come utenti dobbiamo mantenere la guardia proprio come facciamo sui sistemi operativi desktop", ha affermato in un'e-mail a Threatpost.
Allo stesso tempo, gli sviluppatori di app per iPhone e altri dispositivi mobili dovrebbero anche aggiungere un ulteriore livello di controlli di sicurezza nella loro tecnologia in modo da fare meno affidamento sulla sicurezza del sistema operativo per la protezione, dati i difetti che spesso emergono, ha osservato Whaley.
"La nostra esperienza mostra che ciò non sta accadendo abbastanza, lasciando potenzialmente vulnerabili le banche e altri clienti", ha affermato.
- iPhone di apple
- Vulnerabilità della mela
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- hack
- Kaspersky
- il malware
- Mcafee
- sicurezza mobile
- notizie
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Messaggio di minaccia
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
