Apple risolve vulnerabilità zero-day di iOS su vecchi iPhone

Dopo aver risolto la recente vulnerabilità zero-day della settimana scorsa su iPhone e iPad con sistema operativo iOS 17, Apple ha annunciato di aver corretto lo stesso errore anche per le versioni meno recenti. Come riportato sul sito ufficiale dell’azienda di Cupertino, questa vulnerabilità permetterebbe ad “un utente malintenzionato locale di elevare i propri privilegi. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente contro versioni di iOS precedenti a iOS 16.6”. Il nuovo aggiornamento a iOS 16.7.1 e iPadOS 16.7.1 risolve quindi il problema anche sui vecchi modelli che non possono essere aggiornati a iOS 17. Dall’inizio dell’anno, Apple ha corretto 18 vulnerabilità zero-day su iOS e macOS.

Vulnerabilità zero-day iOS: i dettagli dei bug corretti

Come accennato, il primo bug zero-day (indicato come CVE-2023-42824) è una vulnerabilità di escalation dei privilegi causata da una debolezza nel kernel XNU che può consentire agli aggressori locali di elevare i privilegi su iPhone e iPad vulnerabili. Il nuovo aggiornamento risolve il problema e offre controlli migliorati. Tuttavia, Apple non ha comunque rivelato ulteriori dettagli sugli autori della vulnerabilità. Il secondo, un bug (CVE-2023-5217) è invece causato da una vulnerabilità di overflow del buffer di heap all'interno della codifica VP8 della libreria di codec video open source libvpx. Questo difetto potrebbe consentire agli autori delle minacce di ottenere l’esecuzione arbitraria di codice in caso di sfruttamento riuscito. Apple non ha confermato alcun caso di effettivo sfruttamento del bug, ma Google ha corretto la stessa vulnerabilità su Chrome, come zero-day. Lo stesso vale per Microsoft con Edge, Skype e Teams.

L’aggiornamento Apple coinvolge diversi dispositivi, come iPhone 8 (e successivi), tutti i modelli di iPad Pro, iPad Air di terza generazione (e successivi), iPad di quinta generazione (e successivi), ma anche iPad mini di quinta generazione (e successivi). Per installare l’aggiornamento, è necessario accedere alle impostazioni di iPhone (o iPad) e toccare “Aggiornamento software”. Se presente, toccare “Scarica e installa” e accettare i termini e le condizioni Apple. Al termine del download, per installare il nuovo software, toccare “Riavvia”.