Apple ha rilasciato tre patch di emergenza che risolvono due vulnerabilità zero-day presenti in iOS, iPadOS e macOS Monterey. Un malintenzionato potrebbe sfruttare i bug per eseguire codice remoto sui dispositivi. Le segnalazioni sono arrivate da un ricercatore anonimo. L’azienda di Cupertino aveva già risolto altre sette vulnerabilità zero-day tra gennaio e marzo 2022.
Nuove versioni di iOS, iPadOS e macOS
Le vulnerabilità zero-day sono problemi di sicurezza che vengono scoperti prima della disponibilità delle patch e che sono già sfruttate per eseguire attacchi contro i dispositivi interessati. Nel caso di Apple non sono noti exploit pubblici, in quanto il ricercatore ha informato prontamente l’azienda di Cupertino. I due bug sono stati individuati nel kernel e nel motore di rendering WebKit di Safari. In entrambi i casi si tratta di una “out-of-bounds write“, ovvero la scrittura di dati all’esterno dei limiti di un buffer.
La prima vulnerabilità, indicata con CVE-2022-32894, potrebbe essere sfruttata per eseguire un malware con privilegi kernel. Ciò consentirebbe di eseguire qualsiasi comando remoto e prendere il controllo completo del dispositivo. La seconda vulnerabilità, indicata con CVE-2022-32893, potrebbe essere sfruttata quando l’utente visita un sito web infetto con Safari o un’app che usa WebKit per visualizzare il contenuto (ad esempio Mail).
È necessario quindi installare al più presto iOS 15.6.1 per iPhone 6s e successivi, iPadOS 15.6.1 per iPad Pro, iPad Air 2 e succesivi, iPad (quinta generazione) e successivi, iPad mini 4 e successivi, iPod touch (settima generazione), e macOS Monterey 12.5.1.