Questa settimana Apple ha rilasciato aggiornamenti di sicurezza urgenti per affrontare le vulnerabilità zero-day nei vecchi modelli di iPhone, iPad e iPod.
Le patch, rilasciate mercoledì, risolvono un problema di scrittura fuori limite che potrebbe essere sfruttato da un utente malintenzionato consentendo loro di assumere il controllo del dispositivo interessato. La Cyber Security and Infrastructure Agency (CISA) degli Stati Uniti ha incoraggiato oggi gli utenti e gli amministratori IT a rivedere l'Apple Advisory HT213428 e ad applicare tutti gli aggiornamenti necessari.
Apple non ha risposto immediatamente a una richiesta di commento sul fatto se le vulnerabilità fossero state portate alla sua attenzione attraverso exploit attivi, ma il suo aggiornamento di sicurezza diceva: "Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente".
Le vulnerabilità del software sono elencate nel database Common Vulnerabilities and Exposures (CVE), un sistema finanziato da una divisione del Department of Homeland Security (DHS) degli Stati Uniti per garantire la divulgazione pubblica di vulnerabilità ed esposizioni di sicurezza.
"Il problema è che se una pagina web è costruita in un certo modo, può causare l'esecuzione di codice sul dispositivo al di fuori del normale contenimento e creare effettivamente una situazione di malware sul dispositivo che potrebbe compromettere dati, contatti, posizione, inserire dati dannosi Software. oggetti ecc ha affermato Jack Gold, analista principale di J. Gold Associates, LLC.
"Quindi questo è un grosso problema", ha aggiunto.
Le vulnerabilità interessano iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6a generazione) e computer che eseguono versioni precedenti di macOS.
Il fatto che il problema riguardi questo gruppo di dispositivi più vecchi, non i modelli più recenti, significa che ci sono relativamente pochi dispositivi a rischio, ha affermato Gold. Tuttavia, ha detto, chiunque abbia uno dei dispositivi più vecchi dovrebbe aggiornare il prima possibile.
Sebbene una patch proposta per i dispositivi meno recenti possa sembrare irrilevante, i criminali informatici amano particolarmente le tecnologie meno recenti e senza patch, soprattutto se la vulnerabilità offre loro il pieno controllo e la possibilità di accedere ad altri sistemi e servizi.
"Un utente malintenzionato potrebbe attirare una potenziale vittima su un sito Web appositamente predisposto o utilizzare il malvertising per compromettere un sistema vulnerabile sfruttando questa vulnerabilità", ha affermato oggi Malwarebytes in un post sul blog. “Poiché la vulnerabilità esiste nel software di rendering HTML di Apple (WebKit). WebKit funziona con tutti i browser Web iOS e Safari, quindi i potenziali bersagli sono iPhone, iPad e Mac, che potrebbero essere indotti con l'inganno a eseguire codice non autorizzato.
Il problema è stato risolto in iOS 15.6.1, iPadOS 15.6.1 e macOS Monterey 12.5.1. Apple incoraggia gli utenti ad aggiornare alle ultime versioni del suo software.
Copyright © 2022 IDG Communications, Inc.