Qualche giorno fa, Apple ha provveduto a rilasciare iOS 16.5 per iPhone, unitamente ad iPadOS 16.5 per iPad. Chi non ha ancora installato gli update in questione sui propri dispositivi farebbe però bene a provvedere il prima possibile, in quanto vanno a fare fronte pure a una grave falla che in precedenza era stata scovata nel 2022, ma che a quanto pare non era stata del tutto risolta.
iOS 16.5 risolve ColdInvite
Andando più in dettaglio, la vulnerabilità interessata è quella denominata ColdInvite, siglata come CVE-2023-27930.
Secondo un report diffuso dagli esperti di sicurezza di Jam “può essere adoperata da malintenzionati per sfruttare il coprocessore al fine di ottenere privilegi di lettura/scrittura al kernel”. Questo sta a significare che un malintenzionato potrebbe ottenere il controllo di un dispositivo iOS altrui usando ColdInvite.
Il discorso si fa però particolarmente interessante se si tiene conto delle correzioni di vulnerabilità risalenti all’anno scorso con il rilascio di iOS 15.6.1. ColdInvite è stato infatti scoperto a causa di una falla che Apple ha risolto nel 2022, chiamata ColdIntro e siglata come CVE-2022-32894.
ColdIntro è stato patchata con l’aggiornamento iOS 15.6.1 e l’analisi di Jamf afferma che l’update 15.6.1 “mitiga un modo specifico per un utente malintenzionato di sfuggire a un coprocessore, ma non risolve la causa principale della vulnerabilità sottostante”.
Alla luce di tutto ciò, iOS 15.6.1 ha risolto il problema di sicurezza legato a ColdIntro, ma il vero rischio era riferito alla falla che è stata risolta soltanto di recente. Ciò significa che il gruppo di Cupertino ha impiegato quasi un anno per trovare la causa principale del problema.
Da tenere presente che unitamente alle correzioni in questione, l’aggiornamento va a risolvere pure altre svariate vulnerabilità.