Apple ha rilasciato aggiornamenti “Rapid Security Response” per risolvere un difetto zero-day che sarebbe stato attivamente sfruttato in natura e che interesserebbe i sistemi iOS, iPadOS, macOS e il browser Web Safari.
Il bug WebKit
Il bug WebKit, classificato come CVE-2023-37450, potrebbe consentire agli attori delle minacce di ottenere l’esecuzione di codice arbitrario durante l’elaborazione di contenuti Web appositamente allestiti.
Sebbene ci sarebbero scarsi dettagli sulla natura e la portata degli attacchi e sull’identità dell’autore della minaccia, Apple, si legge nei bollettini, sarebbe “a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato“.
Patch, le fasi di rilascio
Il produttore di Cupertino ha pertanto affermato inizialmente (il 10/07/2023) di aver risolto il problema rilasciando gli aggiornamenti per i dispositivi che eseguono le seguenti versioni del sistema operativo:
- iOS 16.5.1(a) e iPadOS 16.5.1(a)
- Mac OS Ventura 13.4.1 (a)
- Safari 16.5.2 per macOS Big Sur e macOS Monterey
Per poi successivamente in un documento di supporto rilasciato l’11 luglio 2023, riconoscere un difetto nelle recenti “Rapid Security Responses” che, secondo il sito Macrumors, “impedirebbe la corretta visualizzazione su Safari di alcuni siti Web come Facebook, Instagram, WhatsApp e Zoom“, consigliando ai clienti che riscontrassero tali problemi di rimuovere l’aggiornamento.
“Puoi scegliere di rimuovere la Rapid Security Responses:
- iPhone o iPad: apri Impostazioni > Informazioni su > Versione iOS, quindi tocca “Rimuovi Rapid Security Responses”. Tocca Rimuovi per confermare.
- Mac: scegli il menu Apple > Informazioni su questo Mac, quindi fai clic su Ulteriori informazioni. In macOS, fai clic sul pulsante Informazioni accanto al numero di versione. Fare clic su Rimuovi e riavvia, quindi fare clic per confermare.“, si legge nell’avviso dell’11 luglio.
Per risolvere tale inconveniente, Apple si riservava di rilasciare quanto prima i nuovi aggiornamenti (iOS 16.5.1 (b), iPadOS 16.5.1 (b) e macOS 13.4.1 (b)). Il 12 luglio, sono state ripubblicate le nuove patch di sicurezza iOS 16.5.1 (c), iPadOS 16.5.1 (c) e macOS Ventura 13.4.1 (c) che hanno risolto i problemi di navigazione web.
Estate calda per Apple
E’ una estate calda per Apple. Infatti solo lo scorso mese è dovuta correre ai ripari per affrontare tre zero-day (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) due dei quali sarebbero stati sfruttati in una campagna spyware. Ma già da inizio anno 2023 diversi sono stati gli zero-day che l’azienda ha dovuto risolvere per evitare il loro sfruttamento attivo in natura:
CVE-2023-32409, CVE-2023-28204, CVE-2023-32373, CVE-2023-32409, CVE-2023-28204, CVE-2023-32373, CVE-2023-23529.
