Con il rilascio di iOS 16.3.1 la scorsa settimana, Apple ha lanciato diverse patch di sicurezza per gli utenti di iPhone e iPad. Sebbene l’azienda avesse già descritto in dettaglio queste patch sul suo sito web, Apple ha ora aggiornato la sua pagina web sulla sicurezza per rivelare che ci sono ancora più exploit che sono stati risolti con gli ultimi aggiornamenti di iOS.
La scorsa settimana vi abbiamo comunicato che Apple ha rilasciato iOS 16.3.1 e iPadOS 16.3.1 per correggere un paio di falle di sicurezza software. Una vulnerabilità è stata riscontrata nel motore del browser WebKit, a cui è stato assegnato il numero CVE (Common Vulnerabilities and Exposures) 2023-23529. Questa falla potrebbe consentire a un hacker di sfruttare l’esecuzione di codice arbitrario che permetterebbe all’hacker di eseguire comandi su un dispositivo di destinazione. Apple ha dichiarato di essere a conoscenza di una segnalazione secondo cui questa vulnerabilità potrebbe essere stata sfruttata attivamente. L’aggiornamento iOS 16.3.1 ha anche risolto una vulnerabilità nel kernel che poteva consentire a un’app di eseguire codice arbitrario con i privilegi del kernel. Apple ha risolto questa falla migliorando la gestione della memoria.
Oggi Apple ha aggiunto tardivamente un’altra vulnerabilità (CVE-2023-23524) che è stata risolta da iOS 16.3.1 e iPadOS 16.3.1. Questa falla avrebbe potuto consentire ad un utente malintenzionato di eseguire codice arbitrario con i privilegi del kernel. Questa falla avrebbe potuto consentire a un hacker di permettere a un iPhone o a un iPad di elaborare un “certificato creato male” che avrebbe portato a un attacco denial-of-service (DoS). Questi attacchi inondano la rete di traffico fasullo causando un crash e impedendo agli utenti legittimi di accedere alle informazioni di cui hanno bisogno o di completare le azioni che stavano cercando di compiere. Apple ha risolto la falla con una “migliore convalida dell’input”.
Secondo 9to5Google, Apple è tornata alla pagina di supporto dei contenuti di sicurezza di iOS 16.3 e iPadOS 16.3 e ha aggiunto tre nuove falle che sono state corrette con iOS 16.3 e iPadOS 16.3. Una, CVE-2023-23535, è stata risolta con una patch. Una, CVE-2023-23520, è stata riscontrata nel Crash Reporter di iOS che potrebbe consentire agli hacker di leggere file arbitrari come root. Altre due vulnerabilità, CVE-2023-23530 e CVE-2023-23531, sono state aggiunte alla pagina di supporto dei contenuti di sicurezza.
Entrambe le falle sono state riscontrate in Foundation dell’iPhone e dell’iPad, che secondo Apple “fornisce un livello base di funzionalità per le app e i framework, tra cui l’archiviazione e la persistenza dei dati, l’elaborazione del testo, il calcolo di data e ora, l’ordinamento e il filtraggio e il collegamento in rete”. Grazie a una migliore gestione della memoria, Apple è riuscita a correggere la vulnerabilità che avrebbe potuto consentire a un’app di “eseguire codice arbitrario al di fuori della propria sandbox o con determinati privilegi elevati”.
Per assicurarsi di aver scaricato il software più recente sul telefono, andare su Generale > Aggiornamento software e seguire le indicazioni.
