Non è solo il tempo di iOS 17.2, ma anche di aggiornamenti di emergenza. Apple ha dovuto provvedere a questi update di sicurezza a causa dell’individuazione di una serie di vulnerabilità individuate proprio nella nuova versione del sistema operativo.
La pagina degli aggiornamenti di sicurezza di Apple ha condiviso tutti i dettagli delle correzioni delle vulnerabilità fornite con iOS 17.2. Fortunatamente, nessuno dei difetti è stato sfruttato attivamente.
Quali sono gli aggiornamenti d’emergenza per iOS 17.2
Apple ha rilasciato iOS 17.2 per tutti gli utenti in contemporanea con tutta una serie di update integrativi. Oltre a queste nuove funzionalità, l’aggiornamento include 10 importanti correzioni di sicurezza per Dov’è, la parte Kernel, Safari, WebKit e Siri.
Riassumendo, in “Dov’è” il bug avrebbe potuto permettere agli hacker di leggere informazioni sensibili sulla posizione. Nel caso di Safari, la vulnerabilità avrebbe reso possibile accedere alle schede di navigazione privata senza autenticazione.
Per quanto riguarda il Kernel, dalla sua flew sarebbe stato possibile per un’app uscire dalla sandbox integrata nel servizio, esponendola così a eventuali attacchi. Nel caso di Siri, un aggressore con accesso fisico potrebbe essere in grado di utilizzare Siri per accedere ai dati sensibili dell’utente.
Ricordiamo che per procedere all’aggiornamento bisogna andare su Impostazioni. Apple ha rilasciato questi upgrade anche per macOS 14.2, watchOS 10.2 e iOS 16.7.3. La maggior parte di queste patch sono disponibili anche per i dispositivi meno recenti tvOS 17.2.
Tutti gli upgrade di emergenza nella nuova versione di iOS
Andando nel dettaglio, come riportato da 9to5mac, nel caso di AVEVideo Encoder, la correzione permette di evitare anche che un’app possa essere in grado di rivelare la memoria del kernel.
Per quanto riguarda il Kit di estensione, senza l’aggiornamento un’app potrebbe essere in grado di accedere a dati utente sensibili. Ma ora il problema di privacy è stato risolto migliorando la redazione dei dati privati per le voci di registro.
Per ImageIO, l’elaborazione di un’immagine avrebbe potuto portare all’esecuzione arbitraria di codice. Esso permette di eseguire dei codici macchina, addirittura molti exploit iniettano o eseguono degli shellcode per rendere facile l’esecuzione dei comandi manualmente.
Lo stesso vale anche per WebKit, che ha riscontrato due problematiche (CVE-2023-42890 e CVE-2023-42883).
Oltre al rischio di un codice arbitrario, l’elaborazione di un’immagine avrebbe potuto portare a una “negazione del servizio” (denial of service). In questo caso, si sarebbero esaurite le risorse di un sistema informatico che fornisce un servizio ai client, fino a renderlo non più in grado di erogare il servizio ai client richiedenti.
In entrambi i casi il problema è stato risolto migliorando la gestione della memoria.
