La scorsa settimana Apple ha rilasciato iOS 16.3,1, la nuova relase del suo sistema operativo per iPhone, con la quale sono state applicate varie patch di sicurezza per gli utenti. Sebbene il gruppo di Cupertino avesse già dettagliato la cosa, nelle ultime ore ha aggiornato la pagina Web sulla sicurezza per rilevare che ci sono ancora più exploit risolti di quelli inizialmente dichiarato.
iOS 16.3.1: ulteriori exploit risolti
Apple, infatti, ha aggiunto un nuovo Common Vulnerabilities and Exposures (CVE) per iOS 16.3.1 correlato a un certificato creato in modo dannoso che potrebbe portare a un attacco denial-of-service (DoS), quando l’attaccante inonda il dispositivo o la rete con traffico malevolo. Apple afferma che il problema DoS è stato risolto con una migliore convalida dell’input.
Anche la pagina Web sulla sicurezza di iOS 16.3, il cui rilascio è avvenuto a gennaio scorso, è stata aggiornata con l’aggiunta di tre nuovi exploit corretti con l’aggiornamento. Uno degli exploit è stato trovato nel Crash Reporter del sistema e poteva consentire agli aggressori di leggere file arbitrari come root, mentre altri due relativi a Foundation potevano permettere agli aggressori di eseguire codice arbitrario su iPhone o iPad con privilegi più elevati aggirando la sandbox dell’app.
Non è dato sapere perché tali exploit non siano già stati menzionati in precedenza da parte di Apple, ma in ogni caso le vulnerabilità sono state tutte risolte con iOS 16.3.1, con la quale l’azienda della “mela morsicata” ha altresì provveduto a far fronte a una violazione della sicurezza riguardante WebKit e che era stata attivamente sfruttata.
Ti potrebbe interessare
21 feb 2023