Apple ha rilasciato nuovamente gli aggiornamenti Rapid Security Response per iOS 16.5.1 , iPadOS 16.5.1 e macOS Ventura 13.4.1 per correggere un exploit di sicurezza che potrebbe consentire agli aggressori di eseguire codice arbitrario sui dispositivi. L’exploit colpisce WebKit, che Safari e altre app Apple utilizzano per il rendering dei contenuti web. Un ricercatore anonimo lo ha segnalato per primo e Apple ha confermato di essere a conoscenza di segnalazioni secondo cui la vulnerabilità è stata attivamente sfruttata.
Questa è la seconda volta che Apple ha dovuto ripubblicare Rapid Security Response iOS 16.5.1. La prima volta è stata l’11 luglio, quando Apple ha rilasciato una versione dell’aggiornamento che impediva la corretta visualizzazione di alcuni siti web. In quell’occasione, la società di Cupertino aveva rilasciato una serie di aggiornamenti della serie Rapid Security Response (RSR) per affrontare una nuova vulnerabilità zero-day, che viene attivamente sfruttata. Il bug colpisce iPhone, Mac e iPad, compromettendo potenzialmente la sicurezza e l’integrità di questi dispositivi. La vulnerabilità, identificata come CVE-2023-37450, è stata segnalata da un ricercatore anonimo. Secondo i bollettini emessi da Apple per iOS e macOS, appare chiaro che la vulnerabilità viene già sfruttata attivamente. Nel giro di poche ore Apple aveva ritirato la patch RSR perché ha causato un bug con Safari nella navigazione su alcuni siti. In particolare, ne sembra afflitto Facebook. La soluzione, momentanea e rudimentale, è utilizzare un browser diverso da Safari.
La vulnerabilità scoperta di recente risiede in WebKit, utilizzato da Apple, Mozilla e Google in iOS e può essere sfruttata al fine di indurre gli utenti a visitare pagine Web contenenti contenuti appositamente predisposti. Questo exploit potrebbe consentire agli aggressori di eseguire codice arbitrario su dispositivi mirati, compromettendo potenzialmente la privacy e la sicurezza degli utenti.
Apple ha evidenziato che le nuove risposte rapide di sicurezza sono fornite solo per le ultime versioni di iOS, iPadOS e macOS, a partire da iOS 16.4.1, iPadOS 16.4.1 e macOS 13.3.1. Per proteggere i dati e proteggere dagli attacchi, si consiglia vivamente agli utenti di applicare le patch RSR. Spiega Apple:
“Forniscono importanti miglioramenti della sicurezza tra gli aggiornamenti del software (…) Possono anche essere utilizzati per mitigare alcuni problemi di sicurezza più rapidamente, come problemi che potrebbero essere stati sfruttati o segnalati per esistere ‘in natura’”.
Le patch RSR sono state introdotte come aggiornamenti compatti che risolvono i problemi di sicurezza tra i principali aggiornamenti software sui suoi sistemi operativi. Forniscono correzioni di sicurezza critiche per aiutare gli utenti ad affrontare le minacce emergenti in tempo. In alcuni casi, Apple potrebbe fornire aggiornamenti di sicurezza improvvisi per affrontare le vulnerabilità sfruttate attivamente dagli hacker. Apple spiega così la modalità di download delle patch:
iPhone o iPad: vai su Impostazioni > Generali > Aggiornamento software > Aggiornamenti automatici, quindi assicurati che “Risposte di sicurezza e file di sistema” sia attivato.
Mac: scegli il menu Apple > Impostazioni di sistema. Fai clic su Generale nella barra laterale, quindi fai clic su Aggiornamento software a destra. Fai clic sul pulsante Mostra dettagli accanto ad Aggiornamenti automatici, quindi assicurati che “Installa risposte di sicurezza e file di sistema” sia attivato.
È possibile apprendere maggiori dettagli su una risposta rapida di sicurezza specifica nelle note sulla patch di sicurezza Apple.
