Apple ha appena lanciato un aggiornamento di emergenza per due bug zero-day che apparentemente vengono attivamente sfruttati .
C’è un Remote Code Execution Hole (RCE) soprannominato CVE-2022-32893 nel software di rendering HTML di Apple (WebKit), per mezzo del quale una pagina Web intrappolata può indurre iPhone, iPad e Mac a eseguire codice software non autorizzato e non affidabile.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
In poche parole, un criminale informatico potrebbe impiantare malware sul tuo dispositivo anche se tutto ciò che hai fatto è stato solo visualizzare una pagina web dall’aspetto innocente.
Ricorda che WebKit è la parte del motore del browser di Apple che si trova sotto assolutamente tutti i software di rendering web sui dispositivi mobili di Apple.
I Mac possono eseguire versioni di Chrome, Chromium, Edge, Firefox e altri browser “non Safari” con motori HTML e JavaScript alternativi (Chromium, ad esempio, utilizza Blink e V8 ; Firefox è basato su Gecko e SpiderMonkey ).
Ma su iOS e iPadOS, le regole dell’App Store di Apple insistono sul fatto che qualsiasi software che offre qualsiasi tipo di funzionalità di navigazione web deve essere basato su WebKit , inclusi browser come Chrome, Firefox ed Edge che non si basano sul codice di navigazione di Apple su altre piattaforme dove potresti usarli.
Inoltre, tutte le app per Mac e iDevice con finestre popup come la Guida o le schermate Informazioni utilizzano l’HTML come “linguaggio di visualizzazione”, una comodità programmatica che è comprensibilmente popolare tra gli sviluppatori.
Le app che lo fanno quasi sicuramente utilizzano le funzioni di sistema WebView di Apple e WebView si basa direttamente su WebKit , quindi è interessato da eventuali vulnerabilità in WebKit.
La vulnerabilità CVE-2022-32893 quindi potenzialmente interessa molte più app e componenti di sistema rispetto al semplice browser Safari di Apple, quindi evitare semplicemente Safari non può essere considerato una soluzione alternativa, anche su Mac in cui sono consentiti browser non WebKit.
Poi c’è un secondo bug
C’è anche un bug di esecuzione del codice del kernel chiamato CVE-2022-32894 , per mezzo del quale un utente malintenzionato che ha già preso piede sul tuo dispositivo Apple sfruttando il suddetto bug WebKit…
Intermezzo promozionale ... continua la lettura dopo il box:
… che potrebbe passare dal controllo di una singola app sul tuo dispositivo all’acquisizione del kernel stesso del sistema operativo, acquisendo così quella sorta di “superpoteri amministrativi” normalmente riservati alla stessa Apple.
Questo quasi sicuramente significa che l’attaccante potrebbe:
- Spia tutte le app attualmente in esecuzione
- Scarica e avvia app aggiuntive senza passare dall’App Store
- Accedi a quasi tutti i dati sul dispositivo
- Modifica le impostazioni di sicurezza del sistema
- Recupera la tua posizione
- Fai screenshot
- Usa le fotocamere nel dispositivo
- Attiva il microfono
- Copia i messaggi di testo
- Tieni traccia della tua navigazione…
…e altro ancora.
Apple non ha detto come siano stati trovati questi bug (se non per accreditare “un ricercatore anonimo” ), non ha detto in quale parte del mondo siano stati sfruttati e non ha detto chi li sta usando o per quale scopo.
In parole povere, tuttavia, un WebKit RCE funzionante seguito da un exploit del kernel funzionante, come visto qui, in genere fornisce tutte le funzionalità necessarie per montare un jailbreak del dispositivo (quindi aggirando deliberatamente quasi tutte le restrizioni di sicurezza imposte da Apple) o per installare spyware in background e tenerti sotto sorveglianza completa.
Cosa fare per proteggersi ?
Patch subito e tutte in una volta!
Al momento in cui scrivo, Apple ha pubblicato avvisi per iPad OS 15 e iOS 15 , che ottengono entrambi i numeri di versione aggiornati di 15.6.1 , e per macOS Monterey 12 , che ottiene un numero di versione aggiornato di 12.5.1 .
Le versioni precedenti di macOS supportate (Big Sur e Catalina) non hanno ancora ricevuto patch a livello di kernel, quindi i sistemi operativi stessi non sono stati aggiornati.
Ma c’è un aggiornamento Safari autonomo , che ti porta a Safari 15.6.1 , che devi ottenere se stai ancora eseguendo macOS 10 Big Sur o macOS 11 Catalina.
Ecco come aggiornare tutto :
- Sul tuo iPhone e iPad: Impostazioni > Generali > Aggiornamento software
- Sul Mac: menu Apple > Informazioni su questo Mac > Aggiornamento software…
C’è anche un aggiornamento che porta watchOS alla versione 8.7.1 , ma quell’aggiornamento non elenca alcun numero CVE e non ha un proprio avviso di sicurezza.
Non si sa se tvOS sia immune o vulnerabile ma non è stato ancora patchato.
Per ulteriori informazioni, guarda questo spazio e tieni d’occhio la pagina del portale del Bollettino sulla sicurezza ufficiale di Apple, HT201222 .
