Il 30 novembre Apple aveva annunciato che un avviso per iOS 16.1.2 sarebbe stato rilasciato nei prossimi giorni. L’avviso è stato pubblicato due settimane dopo, in occasione del Patch Tuesday, e non è chiaro perché il gigante tecnologico abbia aspettato così a lungo per rendere pubbliche le informazioni. Secondo l’azienda, la falla, classificata come CVE-2022-42856, è una confusione di tipo che riguarda il motore del browser WebKit. Un utente malintenzionato può sfruttare la vulnerabilità per l’esecuzione di codice arbitrario facendo accedere l’utente interessato a un sito web appositamente creato. “Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 15.1”, ha dichiarato l’azienda nel suo avviso.
Clément Lecigne del Threat Analysis Group di Google è stato accreditato per aver segnalato la vulnerabilità ad Apple. Sebbene non siano state rilasciate informazioni sugli attacchi che sfruttano CVE-2022-42856, Google di solito tiene traccia degli exploit utilizzati da sofisticati attori di minacce sponsorizzati dallo Stato o da fornitori di spyware commerciali. Sebbene sembri che CVE-2022-42856 sia stato utilizzato solo contro gli utenti di iPhone, Apple ha anche corretto la vulnerabilità con il rilascio di macOS Ventura 13.1, tvOS 16.2 e Safari 16.2. Anche iOS e iPadOS 15.7.2 includono correzioni per il bug. macOS Ventura 13.1 corregge un totale di 36 vulnerabilità che possono portare all’esecuzione di codice arbitrario, alla divulgazione di informazioni sensibili, al bypass della sicurezza, allo spoofing o a una condizione di denial-of-service (DoS). macOS Big Sur 11.7.2 risolve 10 vulnerabilità e macOS Monterey 12.6.2 corregge oltre una dozzina di problemi.
Con il rilascio di iOS e iPadOS 16.2 sono state risolte in totale 35 falle e con il rilascio di iOS e iPadOS 15.7.2 sono state risolte 17 falle di sicurezza. WatchOS 9.2 risolve 25 vulnerabilità e tvOS 16.2 risolve 28 problemi. Poiché questi sistemi operativi sono basati su iOS, la maggior parte di queste falle sono condivise da tutti i sistemi operativi. Safari 16.2 corregge 10 difetti e iCloud per Windows 14.1 risolve tre problemi, tutti riguardanti WebKit.
