Apple, aggiornamenti di urgenza su iOS, iPadOS e macOS: installateli subito

Apple ha rilasciato nuovi aggiornamenti Rapid Security Response (RSR) per risolvere un nuovo bug 0day già sfruttato su iPhone, Mac e iPad con gli ultimi aggiornamenti di sicurezza. L'azienda ha già ammesso di essere "a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato", indicando che la vulnerabilità appena corretta è monitorata come CVE-2023-37450.

Le patch RSR, in italiano "interventi di sicurezza rapidi", sono aggiornamenti di dimensioni ridotte progettati per implementare importanti miglioramenti della sicurezza tra un aggiornamento software e l'altro. Questi update possono includere fix su Safari, nel framework WebKit o all'interno di altre librerie fondamentali del sistema operativo. Le patch RSR possono anche essere utilizzate "per limitare più rapidamente alcuni problemi di sicurezza, come quelli che potrebbero essere stati sfruttati o segnalati come esistenti", scrive Apple nella pagina di supporto ufficiale, contrastando eventuali vulnerabilità 0day come nel caso di CVE-2023-37450.

Apple corregge grave vulnerabilità su iOS, iPadOS, macOS e Safari

Per impostazione predefinita ogni dispositivo applica automaticamente gli interventi di sicurezza rapidi, richiedendo "se necessario" un riavvio e, una volta applicata la patch RSR, il numero di versione del software viene modificato mostrando una lettera dopo la release numerica. Nel caso degli ultimi aggiornamenti le build diventeranno: macOS Ventura 13.4.1 (a), iOS 16.5.1 (a) e iPadOS 16.5.1 (a); mentre nel caso di Safari si passa alla release Safari 16.5.2.

Il bug di sicurezza è stato scoperto nel browser engine WebKit di Apple e consente agli aggressori di ottenere i permessi per l'esecuzione di codice arbitrario su dispositivi mirati in occasione dell'apertura di pagine Web modificate ad-hoc. Il bug è stato corretto attraverso il miglioramento dei controlli al fine di mitigare le possibilità di exploit da parte di attori malevoli. È doveroso sottolineare che nelle note di rilascio Apple suggerisce l'installazione delle nuove patch "a tutti gli utenti".

Dall'inizio del 2023 Apple ha corretto dieci vulnerabilità 0day sfruttate attivamente su iPhone, Mac o iPad, fra cui tre all'inizio di lulgio erano state sfruttate per distribuire lo spyware Triangulation su iPhone tramite un exploit zero-click su iMessage. Altre tre vulnerabilità erano state corrette a maggio, due ad aprile e infine un'altra a febbraio.