Apple e Google segnalano una serie di vulnerabilità zero-day critiche in alcuni loro prodotti. Tutto ciò ha creato un “enorme punto cieco” che sta causando la mancata patch di un gran numero di offerte di altri sviluppatori.
E tutto questo in un periodo dove i malware stanno tornando alla ribalta, col temibile virus Pegasus in testa.
Il “punto cieco” individuato da Apple e Google
Apple ha affermato che la vulnerabilità, tracciata come CVE-2023-41064, derivava da un bug di overflow del buffer in ImageIO, un framework per leggere e scrivere la maggior parte dei formati di file immagine.
Prima come zero-day, segnalato dapprima da Citizen Lab, un gruppo di ricerca della Munk School dell’Università di Toronto. E poi come vero e proprio punto cieco nella propria cybersecurity, col quale gli autori delle minacce hanno potuto accedere ad altre vulnerabilità in iOS per poter installare uno spyware di spionaggio noto come Pegasus.
Per saperne di più: Sicurezza informatica: cos’è la cyber security e come metterla in atto
E così anche Google, che ha segnalato una vulnerabilità critica nel suo browser Chrome. Designata come CVE-2023-4863, è stata segnalata dal team di ingegneria e architettura di sicurezza di Apple e da Citizen Lab.
Una scelta sbagliata al centro del buco
Invece di coordinare e segnalare accuratamente l’origine comune della vulnerabilità, Apple, Google e Citizen Lab hanno scelto di utilizzare una designazione CVE separata. Una scelta non felice, visto che milioni di applicazioni diverse rimarrebbero vulnerabili finché anche loro non avessero incorporato la correzione libwebp.
Ciò, a loro volta, impediva ai sistemi automatizzati utilizzati dagli sviluppatori per tenere traccia delle vulnerabilità note nelle loro offerte di rilevare una vulnerabilità critica che è sotto sfruttamento attivo.
Così facendo, in attesa di un aggiornamento per coprire il “buco”, diverse sono le piattaforme vulnerabili per via di CVE-2023-4863, come ad esempio Teams e lo strumento di sviluppo Visual Studio Code. Per avere la lista completa di dispositivi e browser a rischio, vi suggeriamo la lista stilata da Arstechica.
