Apple ha rilasciato due giorni fa una patch di emergenza per iOS, iPadOS e macOS, sfruttando la funzionalità Rapid Security Responses (RSR). Ieri sera gli aggiornamenti sono stati rimossi, in quanto alcuni siti non vengono visualizzati correttamente con Safari. Un fix verrà distribuito nelle prossime ore.
Serve il fix della patch RSR
Rapid Security Responses è la funzionalità che consente ad Apple di rilasciare importanti aggiornamenti di sicurezza senza attendere la successiva versione del sistema operativo. Viene sfruttata in particolare per risolvere vulnerabilità per le quali sono già disponibili i relativi exploit.
Le patch di emergenza per iOS, iPadOS e macOS del 10 luglio riguardano la vulnerabilità CVE-2023-37450 di WebKit, il motore di rendering di Safari, che permette di eseguire codice arbitrario quando l’utente visita una particolare pagina web. Al termine dell’installazione non cambia la versione del sistema operativo, ma viene aggiunta una lettera (in questo caso iOS 16.5.1 (a), iPadOS 16.5.1 (a) e macOS Ventura 13.4.1 (a)).
Diversi utenti hanno però segnalato un bug piuttosto fastidioso. Alcuni siti e servizi che rilevano lo user agent (ad esempio Facebook, Instagram e Zoom) mostrano il messaggio di errore “Browser non supportato“. Il problema è dovuto proprio alla lettera (a) aggiunta allo user agent.
Apple ha quindi bloccato la distribuzione della patch e promesso il rilascio di un nuovo RSR: iOS 16.5.1 (b), iPadOS 16.5.1 (b) e macOS 13.4.1 (b). In attesa del fix, gli utenti possono rimuovere l’aggiornamento nella pagina delle informazioni sul sistema operativo.
Aggiornamento (13/07/2023): Apple ha rilasciato le nuove patch iOS 16.5.1 (c), iPadOS 16.5.1 (c) e macOS 13.4.1 (c).