Rintracciato come CVE-2023-23529, il problema riguarda una vulnerabilità nel motore del browser WebKit che potrebbe essere attivato durante l’elaborazione di contenuti web creati in modo malevolo, culminando nell’esecuzione di codice arbitrario.
Lunedì Apple ha pubblicato degli aggiornamenti di sicurezza per iOS, iPadOS, macOS e Safari per risolvere un difetto zero-day, che riguarda una fragilità di un software non conosciuta dai suoi sviluppatori o non controllata.
Il produttore di iPhone ha dichiarato la rilosuzione de bug grazie controlli migliorati. La segnalazione del difetto risulta comunicata da un ricercatore anonimo.
Non è cosi chiaro come questa vulnerabilità sia vittima di attacchi, ma è il secondo difetto riscontrato in WebKit a essere sistemato da Apple dopo la CVE-2022-42856 nel dicembre 2022.
La pericolosità di queste fragilità
Queste imperfezioni sono importanti anche per il fatto che hanno un impatto su tutti i browser web di terze parti disponibili per iOS e iPadOS, a causa delle restrizioni di Apple che impongono ai fornitori di browser di utilizzare lo stesso framework di rendering.
Sembra trapelare che la vulnerabilità appartenga alla classe Use-After-Free (UAF), quindi legata all’uso scorretto della memoria dinamica nelle applicazioni. Il suo sfruttamento consente all’aggressore di creare contenuti web dannosi, la cui elaborazione può portare all’esecuzione di codice arbitrario sul dispositivo della vittima.
A segnalare il problema sono stati Xinru Chi di Pangu Lab e Ned Williamson di Google Project Zero. Apple ha dichiarato di aver risolto la vulnerabilità migliorando la gestione della memoria.
Separatamente, l’ultimo aggiornamento di macOS ha anche eliminato un difetto di privacy in Shortcuts che un’app malware può sfruttare per “osservare dati utente non protetti”.
Risoluzione del problema
La compagnia consiglia fortemente agli utenti di aggiornare i propri dispositivi in quanto già diversi criminali informatici stanno sfruttando questa vulnerbailità.
Si dovrebbe dunque passare a iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 e Safari 16.3.1 per ridurre i rischi potenziali. Gli aggiornamenti sono disponibili per i seguenti dispositivi:
iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi e iPad mini di quinta generazione e successivi, Mac con macOS Ventura, macOS Big Sur e macOS Monterey.
Nel 2022 Apple ha sventato un totale di 10 zero-days nei suoi software, nove dei quali attivamente sfruttati dagli attori delle minacce. Quattro di questi problemi riguardano proprio WebKit.
Per ricevere avvisi sulle ultime minacce informatiche direttamente collegate ai dispositivi e alle app, si consiglia di utilizzare Kaspersky Security Cloud, disponibile per i sistemi operativi Windows, macOS, Android e iOS. Nel momento in cui si riscontra una nuova vulnerabilità nel software che si utilizza o una fuga di dati nel sito web che si visita, verrà inviata una notifica con i consigli su come proteggersi.