Apple ha aggiornato il software di sistema di iPhone e iPad con gli update gratuiti iOS 15.3.1 e iPadOS 15.3.1.
Le note di rilascio di iOS 15.3.1 parlano della risoluzione di un problema per gli schermi Braille, che potrebbero non rispondere.
Ma soprattutto di un importante aggiornamento di sicurezza.
Nel merito di quest’ultimo update, e della falla di sicurezza patchata (CVE-2022-22620), è entrato anche lo specialista della cybersecurity Kaspersky.
Riguardo alla vulnerabilità CVE-2022-22620, come Apple, anche Kaspersky consiglia agli utenti di aggiornare i propri dispositivi il più presto possibile.
Ciò, perché l’azienda di cybersecurity ritiene che questa vulnerabilità sia già attivamente sfruttata da player sconosciuti di cyber-attacchi.
Nelle note sui contenuti di sicurezza dell’update, Apple afferma che, a causa della vulnerabilità, l’elaborazione di contenuti web realizzati in modo nocivo può portare all’esecuzione di codice arbitrario.
Anche Apple ha condiviso il fatto di essere a conoscenza di una segnalazione che questo problema potrebbe essere stato attivamente sfruttato.
Kaspersky ha sottolineato che, come di consueto, gli esperti di Apple non rivelano i dettagli della vulnerabilità fino a quando l’indagine non è completata, e la maggior parte degli utenti ha installato le patch.
Al momento, si sa solo che la vulnerabilità appartiene alla classe Use-After-Free (UAF), quindi è legata all’uso scorretto della memoria dinamica nelle applicazioni.
Lo sfruttamento della falla – mette in evidenza Kaspersky – permette al cyber-attacker di creare contenuti web dannosi, la cui elaborazione può portare all’esecuzione di codice arbitrario sul dispositivo della vittima.
Quindi, sintetizzano gli esperti di Kaspersky, lo scenario di attacco più probabile è un’infezione di un dispositivo iPhone o iPad dopo aver visitato una pagina web dannosa.
La vulnerabilità è stata trovata nel motore WebKit, utilizzato in molte applicazioni per macOS, iOS e Linux. In particolare, mette in evidenza Kaspersky, tutti i browser per iOS e iPadOS sono basati su questo motore open source: non solo Safari, ma anche Google Chrome, Mozilla Firefox e qualsiasi altro.
Quindi, questa vulnerabilità riguarda direttamente tutti gli utenti, anche quelli che non usano Safari.
Apple ha rilasciato gli aggiornamenti di iOS e iPadOS per: iPhone 6s e successivi, iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad di quinta generazione e successivi, iPad mini 4 e successivi e iPod touch (settima generazione).
La patch che Apple ha rilasciato cambia i meccanismi di gestione della memoria e di conseguenza impedisce lo sfruttamento della vulnerabilità CVE-2022-22620.
Quindi, anche secondo Kaspersky, per proteggere il proprio dispositivo, dovrebbe essere sufficiente installare gli aggiornamenti iOS 15.3.1 e iPadOS 15.3.1.
La patch per la vulnerabilità CVE-2022-22620 viene indicata da Apple anche come contenuto di sicurezza dell’ultimo aggiornamento per il Mac: macOS Monterey 12.2.1.
E lo stesso update di sicurezza è stato reso disponibile da Apple anche per Safari per macOS Big Sur e macOS Catalina.
Il suggerimento sia di Apple che di Kaspersky è, se non è già stato fatto, di aggiornare quanto prima i propri dispositivi.