Abbiamo ricevuto aggiornamenti urgenti accompagnati da notifiche via e-mail che ci avvertivano di bug zero-day che dovevano essere risolti immediatamente perché i criminali li avevano già scoperti… ma senza nemmeno una vaga descrizione del genere di criminali e di cosa costoro stessero facendo, il che avrebbe almeno consentito di risolvere il problema.
Il nostro approccio è stato quindi quello di ipotizzare il peggio e di dedurre che la storia che Apple non stava raccontando fosse qualcosa di simile a questo: “I dispositivi analizzati in the wild sono stati trovati con spyware nascosto impiantato da cybercriminali sconosciuti “.
E abbiamo quindi seguito il nostro consiglio in rima: Do not delay/Simply do it today. (Non rimandare/Semplicemente fallo oggi).
Sono arrivati aggiornamenti per le ultimissime versioni di macOS e iOS, ma niente per le versioni precedenti supportate, senza alcuna menzione del fatto che quei dispositivi a) erano immuni per pura fortuna, b) a rischio ma lasciati nel limbo per un po’, c) a rischio ma mai riparati.
A volte quelle vecchie versioni avevano ricevuto le proprie patch per le stesse falle zero-day, senza alcuna spiegazione, a distanza di giorni o settimane.
In altri casi, gli aggiornamenti successivi per queste vecchie versioni avevano almeno lasciato intendere che le falle zero-day non le riguardavano.
Rapid Security Response
In questi giorni abbiamo ricevuto un nuovo tipo di notifica di aggiornamento sia per il nostro Mac, sia per il nostro iPhone.
Questa notifica annunciava ciò che Apple chiama una Security Response, contrassegnata non da un nuovo numero di versione, ma da una lettera tra parentesi tonde dopo il numero di versione esistente.
Per macOS Ventura ci è stata fornita la versione 13.3.1 (a) e per il nostro iPhone la 16.4.1 (a).
Su entrambi i dispositivi, c’era un URL nuovo di zecca che rimandava non al solito portale HT201222 degli aggiornamenti di sicurezza di Apple, ma a una pagina nuova di zecca denominata HT201224, intitolata Rapid Security Responses:
Le Rapid Security Responses sono un nuovo tipo di rilascio di software per iPhone, iPad e Mac. Forniscono importanti miglioramenti della sicurezza tra un aggiornamento software e l’altro, ad esempio modifiche al browser Safari, allo stack del framework WebKit o ad altre librerie di sistema critiche. Possono anche essere utilizzate per mitigare più rapidamente alcuni problemi di sicurezza, come quelli che potrebbero essere stati sfruttati o segnalati come esistenti “in the wild”.
Chi riceve queste patch?
Come nota Apple, questo tipo di patch rapida è la prima del suo genere: le nuove Security Rapid Response vengono fornite solo per la versione più recente di iOS, iPadOS e macOS, a partire da iOS 16.4.1, iPadOS 16.4.1 e macOS 13.3.1.
Quindi, almeno sappiamo che non dovrebbero esserci aggiornamenti per iOS e iPadOS 15, o per macOS 11 e 12 (Big Sur e Monterey), perché queste versioni non supportano il nuovo sistema di patching rapido.
Cosa fare?
Non ci sono note di rilascio che accompagnino le patch 13.3.1 (a) e 16.4.1 (a) per macOS e iOS/iPadOS; quindi, le parti del sistema che necessitavano di patch e la natura delle vulnerabilità che sono state corrette non sono state rese note.
La pagina web HT201224 ci invita a supporre che questo tipo di correzione d’emergenza verrà utilizzato per correggere gravi bug a livello di WebKit o di kernel (proprio il tipo di bug che gli operatori di malware e spyware amano sfruttare), ma quanto pericolosi e sfruttabili siano i bug sconosciuti in questo caso è ovviamente, ignoto.
Tuttavia, dato che queste Rapid Security Responses somigliano molto a correzioni anti-spyware di tipo zero-day e che Apple è almeno chiara sul fatto che si tratti di “importanti miglioramenti della sicurezza”, le abbiamo seguite, forzando subito l’aggiornamento dei nostri dispositivi.
- Sul nostro Mac, il processo è stato rapido, molto, molto più rapido di un tipico aggiornamento del sistema, richiedendo circa due minuti in tutto, compresa l’attesa di 60 secondi per il riavvio. Il nostro sistema ora riporta che è in esecuzione macOS 13.3.1 (a).
- Sul nostro iPhone non siamo stati così fortunati. Come riportato da alcuni commentatori su Naked Security, il nostro aggiornamento è stato scaricato correttamente, ma è fallito con una notifica e un popup che diceva: “iOS Security Response 16.4.1 (a) non ha superato la verifica perché non si è più connessi a Internet”.
Abbiamo provato ad accedere al nostro account App Store (di solito accediamo solo per ricevere gli aggiornamenti delle app, che richiedono una connessione autenticata, come indicato esplicitamente dall’app App Store), ma non è cambiato nulla.
Neanche questi tentativi sono serviti.
Avete già effettuato l’aggiornamento e, in caso affermativo, come avete affrontato la procedura?
Aggiornamento. Circa un'ora dopo aver provato a installare l'aggiornamento sul telefono, abbiamo fatto un altro tentativo. Questa volta la verifica dell'update è andata a buon fine, il telefono si è riavviato istantaneamente e il Rapid Security Response è stato installato e il riavvio è stato completato in poche decine di secondi, invece delle solite decine di minuti o più. [2023-05-01T20:00:00Z]
Lascia un commento