Il segreto di Apple è svelato: 3 giorni zero corretti, quindi assicurati di applicare la patch ora!

Ricorda quell'aggiornamento con le labbra zippate ma super veloce che Apple espulso tre settimane fa, il 2023-05-01?

Quell'aggiornamento è stato il primo nel nuovo stile di Apple Risposta di sicurezza rapida processo, in base al quale l'azienda può distribuire patch critiche per componenti di sistema chiave senza passare attraverso un aggiornamento completo del sistema operativo che porta a un nuovo numero di versione.

Come riflettevamo nel podcast Naked Securirty quella settimana:

Apple ha appena introdotto "Rapid Security Responses". Le persone segnalano che impiegano pochi secondi per il download e richiedono un riavvio super rapido. [Ma] per quanto riguarda l'essere a bocca aperta [sull'aggiornamento], sono a bocca aperta. Assolutamente nessuna informazione di cosa si trattasse. Ma è stato bello e veloce!

Buono per alcuni

Sfortunatamente, queste nuove risposte rapide di sicurezza erano disponibili solo per l'ultima versione di macOS (attualmente Ventura) e l'ultimo iOS/iPadOS (attualmente alla versione 16), che ha lasciato gli utenti di vecchi Mac e iDevice, così come i possessori di Apple Watch e Apple TV, al buio.

La descrizione di Apple delle nuove patch rapide implicava che in genere si occupassero di bug zero-day che interessavano software di base come il browser Safari e WebKit, che è il motore di rendering web che ogni browser è obbligato a utilizzare su iPhone e iPad.

Tecnicamente, potresti creare un'app per browser per iPhone o iPad che utilizza il motore Chromium, come fanno Chrome e Edge, o il motore Gecko, come fanno i browser di Mozilla, ma Apple non lo farebbe entrare nell'App Store se lo facessi.

E poiché l'App Store è l'unica fonte di app "giardino recintato" per i dispositivi mobili di Apple, è così: è il modo WebKit o no.

Il motivo per cui i bug critici di WebKit tendono ad essere più pericolosi dei bug in molte altre applicazioni è che i browser trascorrono intenzionalmente il loro tempo a recuperare contenuti da qualsiasi luogo e ovunque su Internet.

I browser elaborano quindi questi file non attendibili, forniti in remoto dai server Web di altre persone, li convertono in contenuti visualizzabili e selezionabili e li visualizzano come pagine Web con cui è possibile interagire.

Ti aspetti che il tuo browser ti avvisi attivamente e richieda esplicitamente l'autorizzazione prima di eseguire azioni considerate potenzialmente pericolose, come l'attivazione della tua webcam, la lettura di file già memorizzati sul tuo dispositivo o l'installazione di nuovo software.

Ma ti aspetti anche che i contenuti non considerati direttamente pericolosi, come le immagini da visualizzare, i video da mostrare, i file audio da riprodurre e così via, vengano elaborati e presentati automaticamente.

In poche parole, semplicemente visita una pagina web non dovrebbe metterti a rischio di avere malware impiantato sul tuo dispositivo, i tuoi dati rubati, le tue password fiutate, la tua vita digitale soggetta a spyware o qualsiasi illecito di questo tipo.

A meno che non ci sia un bug

A meno che, ovviamente, non ci sia un bug in WebKit (o forse diversi bug che possono essere combinati strategicamente), in modo che semplicemente preparando un file immagine, un video o un popup JavaScript deliberatamente trappola, il tuo browser potrebbe essere indotto a fare qualcosa non dovrebbe.

Se i criminali informatici, o i venditori di spyware, o i jailbreaker, o i servizi di sicurezza di un governo a cui non piaci, o addirittura chiunque abbia a cuore i tuoi peggiori interessi, scopre un bug sfruttabile di questo tipo, potrebbero essere in grado di compromettere la sicurezza informatica dell'intero dispositivo...

…semplicemente attirandoti su un sito Web dall'aspetto altrimenti innocente che dovrebbe essere perfettamente sicuro da visitare.

Bene, Apple ha appena dato seguito alle ultime patch di Rapid Security Resonse con aggiornamenti completi per tutti i suoi prodotti supportati e, tra i bollettini sulla sicurezza di quelle patch, abbiamo finalmente scoperto quali erano quelle risposte rapide lì da sistemare.

Due giorni zero:

• CVE-2023-28204: Webkit. Una lettura fuori limite è stata risolta con una migliore convalida dell'input. L'elaborazione dei contenuti web può rivelare informazioni sensibili. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.
• CVE-2023-32373: Webkit. Un problema use-after-free è stato risolto con una migliore gestione della memoria. L'elaborazione di contenuti Web pericolosi può portare all'esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.

In generale, quando due giorni zero di questo tipo vengono visualizzati contemporaneamente in WebKit, è probabile che siano stati combinati dai criminali per creare un attacco di acquisizione in due fasi.

I bug che corrompono la memoria sovrascrivendo dati che non dovrebbero essere toccati (ad es. CVE-2023-32373) sono sempre dannosi, ma i sistemi operativi moderni includono molte protezioni di runtime che mirano a impedire che tali bug vengano sfruttati per prendere il controllo del programma difettoso.

Ad esempio, se il sistema operativo sceglie casualmente dove i programmi e i dati finiscono in memoria, i criminali informatici spesso non possono fare molto di più che arrestare in modo anomalo il programma vulnerabile, perché non possono prevedere come è disposto in memoria il codice che stanno attaccando .

Ma con informazioni precise su dove si trova, un exploit rozzo e "crashtastico" a volte può essere trasformato in un exploit "crash-and-keep-control": ciò che è noto con il nome autodescrittivo di a esecuzione di codice remoto hole.

Naturalmente, i bug che consentono agli aggressori di leggere da posizioni di memoria che non dovrebbero (ad esempio CVE-2023-28204) possono non solo portare direttamente a fughe di dati e furti di dati, ma anche indirettamente a "crash-and-keep- control", rivelando segreti sul layout della memoria all'interno di un programma e facilitandone il controllo.

Curiosamente, c'è una terza patch zero-day negli ultimi aggiornamenti, ma a quanto pare questo non è stato corretto nella Rapid Security Response.

• CVE-2023-32409: Webkit. Il problema è stato risolto con migliori controlli dei limiti. Un utente malintenzionato remoto potrebbe essere in grado di uscire dalla sandbox di Web Content. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.

Come puoi immaginare, combinare questi tre zero-day sarebbe l'equivalente di un home run per un attaccante: il primo bug rivela i segreti necessari per sfruttare il secondo bug in modo affidabile, e il secondo bug consente di impiantare il codice per sfruttare il terzo …

… a quel punto, l'attaccante non si è semplicemente impossessato del “giardino recintato” della tua attuale pagina web, ma ha preso il controllo dell'intero browser, o peggio.

Cosa fare?

Assicurati di essere aggiornato! (Vai a Impostazioni profilo > Generale > Aggiornamento del software.)

Anche i dispositivi che hanno già ricevuto una Rapid Security Response all'inizio di marzo 2023 hanno ancora un giorno zero da applicare.

E tutte le piattaforme hanno ricevuto molte altre correzioni di sicurezza per bug che potrebbero essere sfruttati per attacchi vari come: aggirare le preferenze sulla privacy; accedere ai dati privati ​​dalla schermata di blocco; leggere le informazioni sulla tua posizione senza autorizzazione; spiare il traffico di rete da altre app; e altro ancora.

Dopo l'aggiornamento, dovresti vedere i seguenti numeri di versione:

• watchOS: ora alla versione 9.5
• tvOS: ora alla versione 16.5
• iOS 15 e iPadOS 15: ora alla versione 15.7.6
• iOS 16 e iPadOS 16: ora alla versione 16.5
• Mac OS Big Sur: ora a 11.7.7
• Mac OS Monterey: ora a 12.6.6
• Mac OS Ventura: ora a 13.4

Nota importante: se hai macOS Big Sur o macOS Monterey, quelle importantissime patch WebKit non sono incluse nell'aggiornamento della versione del sistema operativo ma sono fornite in un pacchetto di aggiornamento separato chiamato Safari 16.5.

Divertiti!

---

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
• Fonte: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/