Con gli aggiornamenti di sicurezza rilasciati ieri per i suoi sistemi operativi mobile iOS e iPadOS, Apple ha corretto una vulnerabilità zero-day utilizzata in attacchi contro gli iPhone e gli iPad. È il nono problema di sicurezza corretto dall’inizio dell’anno.
Nel relativo security advisory Apple ha rivelato di essere a conoscenza di segnalazioni secondo le quali la falla di sicurezza “potrebbe essere stata sfruttata attivamente”, anche se al momento non ha fornito ulteriori dettagli tecnici su come siano stati effettivamente condotti gli attacchi.
In ogni caso, qualora venisse sfruttata con successo, la vulnerabilità zero-day potrebbe consentire a un attaccante di eseguire codice arbitrario con privilegi a livello del kernel, quindi con i massimi privilegi possibili.
L’elenco completo dei dispositivi interessati comprende:
- iPhone 8 e successivi;
- iPad Pro (tutti i modelli);
- iPad Air di terza generazione e successivi;
- iPad di quinta generazione e successivi;
- iPad mini di quinta generazione e successivi.
Vista la gravità di questa nuova vulnerabilità, Apple ha prontamente rilasciato le versioni aggiornate dei suoi sistemi operativi: iOS 16.1 e iPadOS 16. È dunque opportuno procedere prontamente con l’aggiornamento dei propri dispositivi.
Indice degli argomenti
La vulnerabilità zero-day in iOS e iPadOS
Tracciata come CVE-2022-42827, la vulnerabilità è stata segnalata ad Apple da un ricercatore anonimo: si tratterebbe di un bug di tipo “out-of-bounds” causato da un software che effettua una scrittura di dati al di fuori del buffer di memoria corrente utilizzato dal dispositivo, con conseguente corruzione della memoria stessa.
In pratica, quindi, lo sfruttamento della vulnerabilità potrebbe causare il danneggiamento dei dati, l’arresto anomalo dell’applicazione o l’esecuzione di codice arbitrario a causa di risultati indefiniti o inattesi dovuti proprio alla scrittura di dati nel buffer di memoria “al di fuori dei confini” ammessi.
La gravità della nuova vulnerabilità zero-day appena corretta da Apple risiede soprattutto nel fatto che l’esecuzione di codice arbitrario a livello di kernel può avvenire da qualsiasi applicazione in uso sul dispositivo esposto.
Come segnalato dai ricercatori dei Sophos Labs, dato l’alto prezzo che gli zero-day per iPhone funzionanti hanno nel mondo del cyber crimine, è presumibile che chiunque sia in possesso di questo exploit sappia come farlo funzionare efficacemente e difficilmente attirerà le attenzioni su di esso per far sì che le potenziali vittime rimangano il più a lungo possibile all’oscuro del rischio a cui sono esposte.
Aggiorniamo subito gli iPhone e iPad
Purtroppo, non avendo Apple fornito dettagli tecnici sullo sfruttamento della vulnerabilità, non è possibile identificare i cosiddetti IoC (indicatori di compromissione) utili a verificare la presenza di segni di attacco sui dispositivi, come ad esempio modifiche di configurazione inaspettate o voci di registro insolite.
L’unica raccomandazione è dunque quella di applicare la patch per la vulnerabilità zero-day il prima possibile.
Per farlo, è sufficiente accedere al menu Impostazioni dell’iPhone o dell’iPad, spostarsi nella sezione Generali e poi in Aggiornamento software, quindi selezionare la voce Scarica e installa.
Le altre vulnerabilità zero-day già corrette da Apple
Come dicevamo, la CVE-2022-42827 è la nona vulnerabilità zero-day corretta da Apple dall’inizio dell’anno.
Le altre erano le seguenti:
- CVE-2022-22587 (IOMobileFrameBuffer): avrebbe potuto consentire a un’applicazione dannosa di eseguire codice arbitrario con i privilegi del kernel.
- CVE-2022-22594 (WebKit Storage): grazie a questa vulnerabilità, un sito Web potrebbe essere in grado di tracciare informazioni sensibili dell’utente (pubblicamente nota, ma non attivamente sfruttata).
- CVE-2022-22620 (WebKit): l’elaborazione di contenuti Web creati in modo malevolo può portare all’esecuzione di codice arbitrario.
- CVE-2022-22674 (Intel Graphics Driver): avrebbe potuto consentire a un’applicazione di leggere la memoria del kernel.
- CVE-2022-22675 (AppleAVD): avrebbe potuto consentire a un’applicazione di eseguire codice arbitrario con i privilegi del kernel.
- CVE-2022-32893 (WebKit): l’elaborazione di contenuti Web creati in modo malevolo può portare all’esecuzione di codice arbitrario.
- CVE-2022-32894 (Kernel): avrebbe potuto consentire a un’applicazione di eseguire codice arbitrario con i privilegi del kernel.
- CVE-2022-32917 (Kernel): avrebbe potuto consentire a un’applicazione di eseguire codice arbitrario con i privilegi del kernel.