Apple rilascia iOS e iPadOS 17.0.1: aggiornamento critico per correggere 3 falle di sicurezza

Apple rilascia iOS e iPadOS 17.0.1: aggiornamento critico per correggere 3 falle di sicurezza

A pochi giorni dal lancio di iOS/iPadOS 17, Apple ha rilasciato l'aggiornamento 17.0.1 per correggere importanti vulnerabilità di sicurezza che potrebbero essere state sfruttate attivamente per prendere il controllo di iPhone e iPad. L'aggiornamento risolve 3 falle zero-day nel kernel, in WebKit e nella convalida dei certificati.

di pubblicata il , alle 12:01 nel canale Apple
AppleiPhoneiPadiPadOSiOSWatchwatchOS
 

A pochissimi giorni dal rilascio delle ultime piattaforme software Apple ha pubblicato nuovi aggiornamenti critici che correggono tre falle di sicurezza importanti. La Mela ha distribuito iOS 17.0.1, iPadOS 17.0.1 e watchOS 10.0.1 che includono "importanti correzioni di bug e aggiornamenti di sicurezza". L'aggiornamento è stato poi dettagliato nel portale dedicato ai rilasci di sicurezza per le piattaforme software proprietarie.

Nello specifico, iOS 17.0.1 e iPadOS 17.0.1 risolvono tre falle zero-day, ovvero vulnerabilità che al momento della patch non erano ancora note pubblicamente ma che potrebbero essere già state sfruttate da malintenzionati o agenzie governative per compromettere iPhone e iPad.

Rilasciati iOS e iPadOS 17.0.1 con importanti fix di sicurezza

La prima falla si trova nel kernel del sistema operativo e consente di ottenere privilegi di root ed avere pieno controllo sul dispositivo a un malintenzionato che può gestire localmente il dispositivo. La seconda riguarda invece la convalida dei certificati di sicurezza, aggirando la quale si sarebbe potuto eseguire malware come se fosse software legittimo e firmato da Apple. Infine, la terza vulnerabilità è integrata su WebKit, il motore di rendering di Safari, e consente l'esecuzione di codice remoto attraverso pagine web create ad-hoc.

Abbiamo provato iOS 17, iPadOS 17 e watchOS 10: tutte le novità

Le tre falle (le prime due sono state corrette anche su watchOS 10.0.1) sono state segnalate da ricercatori del Citizen Lab della Munk School dell'University of Toronto e del Threat Analysis Group di Google. L'aggiornamento alle ultime versioni dei sistemi operativi è caldamente consigliato, specialmente se - come in questo caso - contengono fix per problematiche così delicate. Sui device Apple la procedura di aggiornamento può essere avviata manualmente dalle Impostazioni, sezione Generali > Aggiornamento software.

Di seguito riportiamo il changelog delle nuove versioni di iOS e iPadOS, così come diffuso dall'azienda, solo liberamente tradotto in italiano:

  • Kernel
    • Disponibile per: iPhone XS e successivi, iPad Pro 12,9 pollici di seconda generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad di sesta generazione e successivi, iPad mini di quinta generazione e successivi
    • Impatto: Un aggressore locale potrebbe essere in grado di elevare i propri privilegi. Apple è a conoscenza di una segnalazione secondo la quale questo problema potrebbe essere stato sfruttato attivamente contro versioni di iOS precedenti a iOS 16.7.
    • Descrizione: Il problema è stato risolto con controlli migliorati.
    • CVE-2023-41992: Bill Marczak per il Citizen Lab presso la Munk School della University of Toronto e Maddie Stone per il Threat Analysis Group di Google
  • Sicurezza
    • Disponibile per: iPhone XS e successivi, iPad Pro 12,9 pollici di seconda generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad di sesta generazione e successivi, iPad mini di quinta generazione e successivi
    • Impatto: Un'app dannosa potrebbe essere in grado di aggirare la convalida della firma. Apple è a conoscenza di una segnalazione secondo la quale questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti a iOS 16.7.
    • Descrizione: È stato risolto un problema di convalida dei certificati.
    • CVE-2023-41991: Bill Marczak per il Citizen Lab presso la Munk School della University of Toronto e Maddie Stone per il Threat Analysis Group di Google
  • WebKit
    • Disponibile per: iPhone XS e versioni successive, iPad Pro 12,9 pollici di seconda generazione e versioni successive, iPad Pro 10,5 pollici, iPad Pro 11 pollici di prima generazione e versioni successive, iPad Air di terza generazione e versioni successive, iPad di sesta generazione e versioni successive, iPad mini di quinta generazione e versioni successive.
    • Impatto: L'elaborazione di contenuti web può portare all'esecuzione di codice arbitrario. Apple è a conoscenza di una segnalazione secondo la quale questo problema potrebbe essere stato sfruttato attivamente contro versioni di iOS precedenti a iOS 16.7.
    • Descrizione: Il problema è stato risolto con controlli migliorati.
    • CVE-2023-41993: Bill Marczak per il Citizen Lab presso la Munk School della University of Toronto e Maddie Stone per il Threat Analysis Group di Google
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^