Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

SICUREZZA MOBILE

Apple corregge una zero-day di iOS attivamente sfruttata sui vecchi iPhone e iPad: aggiorniamo subito

Apple ha rilasciato la patch per iOS che corregge la vulnerabilità zero-day tracciata come CVE-2022-42856 con impatti su vecchi modelli di iPhone e iPad. Il bug risulta essere stato già attivamente sfruttato, per cui è importante procedere subito con l’aggiornamento dei propri dispositivi

Pubblicato il 25 Gen 2023

Paolo Tarsitano

Editor Cybersecurity360.it

Apple intelligence privacy

È stata rilasciata la versione 12.5.7 di iOS contenente la patch per correggere la vulnerabilità zero-day tracciata come CVE-2022-42856 con impatti sulle vecchie versioni di iPhone e iPad: l’aggiornamento dei dispositivi è urgente, in quanto il bug risulta essere già attivamente sfruttato in attacchi mirati.

Ricordiamo che già lo scorso 12 dicembre 2022 Apple aveva rilasciato un aggiornamento per la stessa vulnerabilità: in quel caso, l’aggiornamento riguardava le versioni dei sistemi operativi iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 e macOS Ventura 13.1 e ha interessato tutti i modelli di iPhone 6s, di iPhone 7, iPhone SE di prima generazione, tutti i modelli di iPad Pro, iPad Air 2 e superiori, iPad di quinta generazione e superiori, iPad mini 4 e superiori, e iPod touch di settima generazione.

Evidentemente, la stessa Apple è nel frattempo venuta a conoscenza di attacchi attivi in corso anche verso le versioni più vecchie di iPhone e iPad e per questo ha rilasciato l’aggiornamento di sicurezza per iOS 12.5.7 risolvendo la vulnerabilità zero-day sugli iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (di sesta generazione).

Dettagli della zero-day sui vecchi iPhone e iPad

Nei dettagli del bollettino di sicurezza pubblicato da Apple si legge che la vulnerabilità zero-day CVE-2022-42856 riguarda il motore di rendering Webkit usato nei browser di Apple ed è un problema di “type confusion”: in quanto tale, dunque, consente l’accesso a una risorsa in memoria utilizzando un file di tipo incompatibile.

Se sfruttata con successo, potrebbe consentire a contenuti Web malevoli di eseguire codice arbitrario sui dispositivi vulnerabili nel momento in cui la potenziale vittima dovesse collegarsi alla pagina che li contiene, permettendo a un eventuale attaccante di prendere potenzialmente il controllo dei dispositivi stessi e di aprire le porte a malware o spyware, oppure per svolgere altre attività malevoli

Aggiorniamo subito gli iPhone e iPad

Lo sfruttamento attivo della vulnerabilità zero-day CVE-2022-42856 rende particolarmente urgente l’applicazione del nuovo aggiornamento.

Per installare la patch è sufficiente accedere al menu Impostazioni dell’iPhone o dell’iPad, spostarsi nella sezione Generali e poi in Aggiornamento software, quindi selezionare la voce Scarica e installa.

Altri aggiornamenti di sicurezza Apple

Nella giornata di ieri Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità che interessano i propri prodotti:

  • Safari, versioni precedenti alla 16.3;
  • macOS Monterey, versioni precedenti alla 12.6.3;
  • macOS Big Sur, versioni precedenti alla 11.7.3;
  • watchOS, versioni precedenti alla 9.3;
  • iOS 12.5.x, versioni precedenti alla 12.5.7;
  • iOS e iPadOS 15.7.x, versioni precedenti alla 15.7.3;
  • iOS e iPadOS 16.x, versioni precedenti alla 16.3;
  • macOS Ventura, versioni precedenti alla 13.2.

Apple iOS 16.3 supporta le chiavi di sicurezza hardware

Da segnalare anche il rilascio da parte di Apple di iOS 16.3 con il tanto atteso supporto per le chiavi di sicurezza hardware per fornire una maggiore protezione contro gli attacchi di phishing e l’accesso non autorizzato ai dispositivi.

Questi dispositivi, infatti, possono essere utilizzati come ulteriore fase di verifica quando si utilizza l’autenticazione a due fattori per gli ID Apple, invece del normale codice di verifica a sei cifre visualizzato sui dispositivi e dunque possono essere molto utili proprio per contrastare gli attacchi di phishing mirati al furto delle credenziali dell’ID Apple e dei codici di accesso unico inviati tramite le verifiche 2FA.

Per impostare l’autenticazione tramite chiave di sicurezza su un iPhone occorre accedere al menu Impostazioni, selezionare il proprio nome utente, spostarsi poi nella sezione Password e sicurezza e selezionare Aggiungi chiave di sicurezza. Quindi, è sufficiente seguire le istruzioni mostrate a video per completare la configurazione del proprio modello di chiave di sicurezza.

Al momento, la nuova funzionalità di sicurezza dovrebbe funzionare sui seguenti modelli di chiavi di sicurezza hardware: YubiKey 5 NFC, YubiKey 5C NFC, YubiKey 5Ci, Google Titan e FEITAN ePass K9 NFC.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Surfshark VPN su Android

  • LA GUIDA

    VPN Android: quali scegliere e come configurarle per la massima privacy

    20 Giu 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Truffa con SMS e telefonate false a tema UniCredit - Frodi via Sms: le strategie per contrastarle

  • L'ANALISI TECNICA

    Nuova truffa UniCredit con SMS e telefonate false a tema: come proteggersi

    15 Apr 2025

    di Salvatore Lombardo

    Condividi
  • La sentenza Deloitte e la costruzione para-giuridica della pseudo-anonimizzazione

  • il parere

    Privacy e hype, la sentenza Deloitte non è una vera svolta nel GDPR

    10 Set 2025

    di Tania Orrù

    Condividi