Apple ha rilasciato le correzioni per due vulnerabilità 0-day in iOS e macOS che danno agli hacker accesso all’interno dei sistemi operativi su cui girano i dispositivi.
Apple ha accreditato un ricercatore anonimo per la scoperta di entrambe le vulnerabilità. La prima vulnerabilità, CVE-2022-22675, risiede in macOS Monterey e in iOS o iPadOS per la maggior parte dei modelli di iPhone e iPad. Il bug, che deriva da un problema di scrittura out-of-bounds, dà agli hacker la possibilità di eseguire codice dannoso che gira con privilegi kernel, la parte più sensibile alla sicurezza del sistema operativo. CVE-2022-22674, nel frattempo, deriva anche da un problema di lettura out-of-bounds che può portare alla divulgazione della memoria del kernel (memory leak).
Apple ha rivelato i dettagli delle falle qui e qui. “Apple è a conoscenza di un rapporto che questo problema potrebbe essere stato attivamente sfruttato”, la società ha scritto di entrambe le vulnerabilità.
Piovono 0-day su iOS e macOS
CVE-2022-22674 e CVE-2022-22675 sono il quarto e quinto zero-days che Apple ha patchato quest’anno. Nel mese di gennaio, l’azienda si è affrettata a rilasciare patch per iOS, iPadOS, macOS Monterey, watchOS, tvOS e HomePod Software per risolvere un difetto di corruzione della memoria zero-day che potrebbe dare agli sfruttatori la possibilità di eseguire codice con i privilegi del kernel. Il bug, tracciato come CVE-2022-22587, risiedeva nel IOMobileFrameBuffer. Una vulnerabilità separata, CVE-2022-22594, ha reso possibile ai siti web di tenere traccia delle informazioni sensibili degli utenti. Il codice di exploit per quella vulnerabilità è stato rilasciato pubblicamente prima del rilascio della patch.
Apple nel mese di febbraio ha diffuso una patch per un bug “use after free” nel motore del browser Webkit che dava agli attaccanti la possibilità di eseguire codice dannoso su iOS. Apple ha detto che i rapporti che ha ricevuto hanno indicato la vulnerabilità-CVE-2022-22620-potrebbe anche essere stata attivamente sfruttata.
Un documento dove i ricercatori di sicurezza di Google tracciano gli zero-day mostra che Apple raggiunge un totale di 12 vulnerabilità simili nel 2021. Tra queste c’era una falla in iMessage che il framework spyware Pegasus prendeva di mira utilizzando un exploit zero-click, il che significa che i dispositivi sono stati infettati semplicemente ricevendo un messaggio dannoso, senza alcuna azione da parte dell’utente. Due zero-days che Apple ha patchato a maggio hanno reso possibile agli attaccanti di infettare i dispositivi completamente aggiornati.