Lo scorso 13 febbraio per Apple è stato una sorta di “patch Monday”, il lunedì in cui il gigante di Cupertino ha dovuto correre rapidamente ai ripari, una volta emersa una vulnerabilità zero day relativa al framework WebKit, uno dei componenti del browser Safari. Vediamo nel dettaglio cosa è successo e quali sono, all’atto pratico, le conseguenze per gli utilizzatori di Mac, iPhone e iPad.

Nuovo update di sicurezza Apple per iOS 16, iPadOS 16 e macOS Ventura

Apple ha reso disponibile una patch di sicurezza per i sistemi operativi iOS16, iPadOS 16 e macOS Ventura (oltre a Big Sur e Monterey), che riguarda nello specifico la versione più recente del browser internet Safari, per risolvere una vulnerability zero day relativa al framework WebKit.

La pubblicazione della patch è stata accompagnata, come di consueto, da una serie di note, volte soprattutto a suggerire con decisione di effettuare l’aggiornamento nel più breve tempo possibile, per impedire che i device in proprio possesso possano essere attivamente sfruttati dai soggetti malintenzionati.

Dal punto di vista tecnico, la vulnerabilità è resa palese dal seguente passaggio delle note di rilascio della patch: “L’elaborazione di contenuto malevolo può causare una arbitrary code execution […] Apple è a conoscenza di un report secondo cui il problema potrebbe essere attivamente sfruttato”.

La vulnerabilità è stata codificata come CVE-2023-23529, a seguito del report del Citizeb Lab della Munk School della University of Toronto, che avrebbe tempestivamente avvisato Apple circa l’esistenza del problema, dimostrando come potesse essere fattivamente causa di un possibile arbitrary code execution, ossia un’esecuzione di codice arbitrario che consente all’attaccante di eseguire varie operazioni per sfruttare a proprio vantaggio le risorse presenti sul sistema.

I rischi di una arbitrary code execution

Benché Apple non abbia reso nota alcuna violazione certa dovuta alla vulnerabilità CVE-2023-23529, è evidente che la possibilità di sfruttare arbitrary code execution abbia reso la questione di assoluta priorità, al punto consigliare l’installazione dell’aggiornamento di sicurezza nel più breve tempo possibile.

In aggiunta alla citata vulnerabilità, Apple ha aggiornato anche altri due problemi di sicurezza informatica. In primo luogo è stato risolto un problema di code execution nel kernel (CVE-2023-23514) scoperto dai ricercatori di Google Project Zero e Pangu Lab, oltre ad alcuni problemi relativi all’esposizione dei dati personali (CVE-2023-23522), scoperto da alcuni ricercatori del gruppo Alibaba.

In particolare, nel caso di WebKit, l’esecuzione di codice arbitrario consentirebbe di direzionare in maniera malevola la navigazione verso siti in grado di veicolare sulla macchina vittima un pericoloso malware, con tutti i rischi e le conseguenze del caso. Nello specifico, Apple avrebbe risolto una vulnerabilità relativa a quello che è stato denominato il “type confusion issue”.

LEGGI ANCHE: Malware cos’è, come riconoscerlo e quali sono le diverse tipologie

Esistono poi alcune differenze tra le patch per iOS e macOS. Nel caso di iPhone, iPad e Mac, l’intervento va a correggere una vulnerabilità comune del kernel, per impedire che alle applicazioni di avere quella che la stessa release note indica come una “execute arbitrary code with kernel privileges”. Sui Mac viene inoltre risolta la già citata vulnerabilità CVE-2023-23522 per impedire ai soggetti malintenzionati di visualizzare alcuni dati personali non protetti.

In merito a tutte le vulnerabilità che la patch di sicurezza è andata a risolvere, né Apple, né altre fonti creditate, come già accennato, hanno segnalato evidenti violazioni o significativi incidenti di sicurezza informatica. È infatti opportuno ricordare come ad una vulnerabilità non corrisponda inevitabilmente una violazione, in quanto è frequente che debba verificarsi la coincidenza di vari fattori e situazioni che possono comunque abbassare notevolmente le effettive possibilità di un incidente.

Apple e le vulnerabilità zero day di WebKit: i rischi per Mac, iPhone e iPad ultima modifica: 2023-02-15T17:27:27+01:00 da Francesco La Trofa

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui