Apple ha annunciato il rilascio di un aggiornamento di emergenza per affrontare alcune falle di sicurezza rilevate di recente, tra cui un paio di errori che possono essere sfruttati da remoto. Gli utenti devono eseguire l’aggiornamento a iOS 14.7 sui propri dispositivi iPhone o iPad. Tuttavia, le patch non includono una correzione per un difetto che consente l’installazione di spyware Pegasus sui dispositivi Apple. I rapporti più recenti indicano che gli attori delle minacce abusano di una vulnerabilità zero-day nella funzione iMessage di Apple per installare il famigerato spyware sui dispositivi esposti.
Questo aggiornamento di emergenza risolve un totale di 40 difetti, di cui 37 solo per iPhone. La più grave di queste vulnerabilità consentirebbe agli autori di minacce remote di eseguire codice arbitrario con privilegi di utente root sui dispositivi interessati.
Al momento Apple ritiene che non ci siano segnalazioni di sfruttamento attivo, sebbene il rischio per le agenzie governative sia considerato critico, quindi è necessario aggiornare il prima possibile.
Alcune delle principali patch di sicurezza risolvono i difetti che risiedono in WebKit, il motore del browser Safari. Tutte e quattro le vulnerabilità (CVE-2021-30758 , CVE-2021-30795 , CVE-2027-30797 e CVE-2021-30799) esistono a causa di errori di confusione del tipo, errori use-after-free e difetti di danneggiamento della memoria.
Il rapporto di Apple include un elenco dei 40 difetti affrontati in questo aggiornamento di emergenza.
Oltre agli aggiornamenti, Apple ha pubblicato un elenco di raccomandazioni sulla sicurezza per mitigare il rischio di sfruttamento, che include:
- Esegui qualsiasi strumento come utente non privilegiato
- Evita di scaricare file o applicazioni da fonti sconosciute
- Non visitare piattaforme dall’aspetto sospetto o dalla dubbia reputazione
Sebbene l’aggiornamento sia stato rilasciato all’inizio di questa settimana, la società ha mantenuto segreti i dettagli tecnici su questi difetti a causa del rischio di sfruttamento latente. Va ricordato che questa è una tecnica standardizzata nella comunità della sicurezza informatica per prevenire il massiccio sfruttamento dei difetti zero-day.
Per la comunità della sicurezza informatica, questo è un flag di rete che Apple dovrebbe prendere seriamente in considerazione e non solo correggere i difetti rilevati su iMessage. Dirk Schrader, specialista di sicurezza informatica, ritiene: “Nessun dispositivo o sistema operativo è esente da guasti al 100%; questo è un chiaro esempio che Apple ha bisogno di ripensare al suo attuale approccio alla sicurezza, che ricercatori, produttori e utenti spesso considerano più sicuro delle loro controparti”.