Prodotti e Servizi PRODOTTI & SERVIZI

Apple rilascia patch per tutte le vulnerabilità, inclusa una zero-day per gli utenti di iOS 15

È stato rilasciato l'ultimo update di Apple comprendente una vasta gamma di patch di sicurezza per tutti i dispositivi che la società di Cupertino supporta ufficialmente.
Scritto da
4 Aprile 2023
Products & Services Apple Vulnerabilità

Sono disponibili patch per iOS, iPadOS, tvOS e watchOS, per tutte e tre le versioni supportate di macOS e persino uno speciale aggiornamento del firmware nel super cool monitor Studio Display esterno di Apple.

Apparentemente, se utilizzi macOS Ventura e hai collegato il tuo Mac a uno Studio Display, il solo aggiornamento del sistema operativo non è sufficiente per proteggerti da potenziali attacchi a livello di sistema.

Secondo il bollettino di Apple, un bug nel firmware dello schermo del display potrebbe essere abusato da una app in esecuzione sul tuo Mac “per eseguire codice arbitrario con privilegi del kernel”.

Avviso per chi è in viaggio

Supponiamo che in questo momento tu sia in viaggio con il tuo Mac. Potresti non essere in grado di collegarti per un po’ di tempo al tuo Screen Display, e nel frattempo qualche malintenzionato intraprendente potrebbe aver lavorato all’indietro partendo dalle patch, oppure potrebbe essere stato rilasciato un exploit proof-of-concept.

Non sappiamo come (e neanche se) potresti scaricare la patch Screen Display per installarlo offline una volta arrivato a casa.

Quindi, se sei in grado di applicare le patch sul tuo display solo in determinati giorni o settimane perché devi collegare il tuo Mac patchato al tuo display vulnerabile per aggiornarlo, e supponendo che tu debba andare online per completare l’aggiornamento…

… dovresti imparare ad avviare il tuo Mac nella cosiddetta modalità provvisoria e aggiornare da lì.

In modalità provvisoria, viene caricato un set minimo di software di sistema e app di terze parti, riducendo così quella che è nota come superficie di attacco fino a quando hai completato l’installazione della patch

Ironia della sorte, seppur inevitabilmente, la maggior parte dei componenti aggiuntivi per la sicurezza di terze parti non si avviano in modalità provvisoria. Conseguentemente un approccio alternativo consiste banalmente nell’avviare il tuo Mac avendo l’accortezza di disattivare tutte le app non correlate alla sicurezza.

Puoi disattivare temporaneamente l’avvio automatico delle app in background nel menu Impostazioni > Generali > Elementi di accesso.

Un solo zero-day, ma molti altri bug

La buona nuova, per quanto possiamo vedere, è che c’è solo un bug zero-day in questo batch di aggiornamenti: il bug CVE-2023-23529 in WebKit.

Questa vulnerabilità, che consente agli aggressori di installare malware sul tuo dispositivo iOS 15 o iPadOS 15 senza che tu te ne accorga, è elencata con le inquietanti parole “Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente “.

Fortunatamente questo bug è elencato solo come zero-day nel bollettino sulla sicurezza di iOS 15.7.4 e di iPadOS 15.7.4, il che significa che i più recenti iDevices, Mac, TV e Apple Watch sembrano esserne al sicuro.

La cattiva notizia, come al solito, è che c’è comunque una vasta gamma di bug che speriamo vengano risolti prima che i truffatori la trovino e ne facciano uso su tutti gli altri sistemi operativi di Apple, ivi comprese le vulnerabilità che teoricamente potrebbero essere sfruttate per:

  • Esecuzione di codice remoto a livello di kernel, in cui gli aggressori potrebbero impossessarsi dell’intero dispositivo e (potenzialmente) accedere a tutti i dati da qualsiasi app, anziché limitarsi a intromettersi in una singola app e nei suoi dati.
  • Furto di dati innescato da una invitation di calendar booby-trapped.
  • Accesso ai dati Bluetooth dopo che il dispositivo ha ricevuto un booby-trapped Bluetooth packet.
  • Download di file che aggirano i soliti controlli di quarantena di Gatekeeper di Apple, un po’ come il recente bypass di SmartScreen su Windows causato da un bug nel sistema Mark of the Web di Microsoft.
  • Accesso non autorizzato al tuo album di foto nascoste, causato da un difetto nell’app Foto.
  • Tracciamento subdolo e errato dell’utente online dopo aver visitato un booby-trapped website.

Cosa fare?

Gli aggiornamenti di cui hai bisogno, i bollettini che descrivono cosa stai ricevendo e i numeri di versione da cercare per assicurarti di aver aggiornato correttamente, sono i seguenti:

  • HT213670: macOS Ventura passa alla 13.3.
  • HT213677: macOS Monterey passa a 12.6.4.
  • HT213675: macOS Big Sur passa a 11.7.5.
  • HT213671: Safari passa alla 16.4 (questo aggiornamento è incluso con le patch Ventura, ma è necessario installarlo separatamente se si utilizza Monterey o Big Sur).
  • HT213676: iOS 16 e iPadOS 16 passano a 16.4.
  • HT213673: iOS 15 e iPadOS 15 passano a 15.7.4.
  • HT213674: tvOS passa a 16.4.
  • HT213678: watchOS passa alla 9.4.
  • HT213672: il firmware dello Studio Display passa alla 16.4.

Su iDevices, vai su Impostazioni > Generali > Aggiornamento software per verificare se sei aggiornato e per attivare un aggiornamento se non lo sei.

Su Mac il procedimento è pressoché identico, tranne per il fatto che occorre aprire il menu Apple e scegliere Impostazioni di sistema… per iniziare, e a seguire Generale > Aggiornamento software.

Approfittane subito, sono patch fresche di rilascio!

L’autore

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too.

Follow him on Twitter: @duckblog

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *