Apple ha rilasciato lunedì patch di sicurezza per iOS, iPadOS, macOS, tvOS, watchOS e il browser web Safari per affrontare molteplici vulnerabilità di sicurezza, oltre a fare delle correzioni per ben due zero-day recentemente divulgate su dispositivi più datati.
Quali sono le vulnerabilità risolte da Apple nei suoi sistemi operativi
Questo include aggiornamenti per 12 vulnerabilità di sicurezza in iOS e iPadOS che riguardano AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing e WebKit. macOS Sonoma 14.2, da parte sua, risolve 39 difetti, contando sei bug che influenzano la libreria ncurses.
Tra le vulnerabilità degne di nota c’è CVE-2023-45866, una grave problematica di sicurezza in Bluetooth che potrebbe consentire a un attaccante in una posizione di rete privilegiata di iniettare tasti premuti simulando una tastiera.
La vulnerabilità è stata divulgata la scorsa settimana dal ricercatore di sicurezza di SkySafe, Marc Newlin, ma è stata risolta in iOS 17.2, iPadOS 17.2 e macOS Sonoma 14.2 con controlli migliorati, ha dichiarato il produttore di iPhone.
Apple ha rilasciato anche Safari 17.2, che contiene correzioni per due falle di WebKit – CVE-2023-42890 e CVE-2023-42883 – che potrebbero portare all’esecuzione di codice arbitrario e a una condizione di denial-of-service (DoS); l’aggiornamento è disponibile per i Mac che eseguono macOS Monterey e macOS Ventura.
iOS 17.2 e iPadOS 17.2, oltre a risolvere un bug di Siri che potrebbe consentire a un attaccante (un hacker, insomma) con accesso fisico di ottenere dati sensibili, includono un potenziamento della sicurezza sotto forma di Contact Key Verification, che assicura la privacy delle conversazioni di iMessage consentendo agli utenti di verificare i contatti con cui stanno comunicando.
“La verifica della chiave di contatto di iMessage fa avanzare lo stato dell’arte delle implementazioni di Key Transparency facendo sì che i dispositivi degli utenti verifichino da soli le prove di consistenza ed assicurino la coerenza del sistema KT su tutti i dispositivi dell’utente per un account“, ha reso noto Apple in una spiegazione tecnica nell’ottobre 2023.
La mela ha poi aggiunto “Queste migliorie proteggono da compromissioni della directory delle chiavi così come da compromissioni del servizio di trasparenza stesso e possono rilevare viste separate presentate da entrambi i servizi.”
In coincidenza con gli aggiornamenti, Apple ha rilasciato anche iOS 16.7.3 e iPadOS 16.7.3 per chiudere fino a otto problematiche di sicurezza, di cui due riguardano WebKit (CVE-2023-42916 e CVE-2023-42917) e sono state divulgate da Redmond come attivamente sfruttate nel mondo selvaggio all’inizio di questo mese.
Entrambe le vulnerabilità sono state corrette anche in tvOS 17.2 e watchOS 10.2, tuttavia non sono ancora disponibili ulteriori dettagli sulla natura dello sfruttamento e sui criminali informatici che potrebbero utilizzarle.
Conclusione
È importante sottolineare l’urgenza di installare gli aggiornamenti più recenti su tutti i dispositivi supportati; la presenza di vulnerabilità significative, come quella critica in Bluetooth (CVE-2023-45866) e i problemi associati a WebKit, sottolinea la necessità di un intervento tempestivo per garantire la protezione dagli attacchi informatici.
l’introduzione di miglioramenti nella verifica della chiave di contatto di iMessage rappresenta un passo avanti significativo per la sicurezza delle comunicazioni, evidenziando l’impegno di Apple nel garantire la privacy degli utenti; l’attenzione dedicata alla risoluzione di problemi relativi a Siri e la continua ottimizzazione della sicurezza indicano un approccio proattivo nell’affrontare potenziali rischi per la sicurezza.
Gli utenti sono incoraggiati a mantenere regolarmente i propri dispositivi aggiornati e a essere consapevoli delle pratiche di sicurezza consigliate per proteggere le proprie informazioni personali; la collaborazione tra gli sviluppatori e la comunità di sicurezza è fondamentale per identificare e risolvere tempestivamente le vulnerabilità, contribuendo così a garantire un ambiente digitale più sicuro per tutti gli utenti.
