Apple ha rilasciato le versioni aggiornate di iOS e OS X con l’obiettivo specifico di chiudere cinque vulnerabilità di sicurezza potenzialmente molto pericolose, problemi in larga misura riguardanti la gestione incorretta dei contenuti multimediali da parte delle librerie native del software di Cupertino.
Si tratta in sostanza di un nuovo caso Stagefright, anche se ora il sistema vulnerabile alla compromissione è iOS e non Android : la vulnerabilità CVE-2016-4631 riguarda la API di elaborazione delle immagini TIFF, progettata per processare i contenti in anticipo sull’intervento dell’utente per estrapolare una miniatura da mostrare su schermo.
Come con le librerie Stagefright di Android, anche in questo caso è possibile modificare ad arte un’immagine per causare un errore di buffer overflow, mandando in esecuzione codice malevolo da remoto e potenzialmente compromettendo il computer o il terminale dell’utente.
La API incriminata è presente di sicuro in OS X 10.11.5 e iOS 9.3.2, anche se i ricercatori ipotizzano l’esistenza dello stesso problema anche in altre versioni dei suddetti sistemi operativi; gli altri bachi coinvolgono la gestione del formato HDR OpenEXR (CVE-2016-4629, CVE-2016-4630), del formato DAE in Scene Kit e altre app (CVE-2016-1850), e infine l’elaborazione delle immagini in formato BMP tramite Core Graphics API (CVE-2016-4637).
Un malintenzionato potrebbe sfruttare una delle cinque vulnerabilità tramite embed nelle pagine Web, email, messaggi (MMS/iMessages) e altre applicazioni terze, e in tutti i casi è altamente consigliato l’upgrade alle nuove versioni di iOS (9.3.3) tvOS (9.2.2) watchOS (2.2.2) e OS X El Capitan (10.11.6).
Alfonso Maruccia