Luglio è stato un mese ricco di aggiornamenti importanti, tra cui patch per vulnerabilità già sfruttate nei prodotti Microsoft e Google. Questo mese ha visto anche il primo aggiornamento di Apple iOS in otto settimane, che ha risolto decine di falle di sicurezza in iPhone e iPad.
Apple iOS 15.6
Apple ha rilasciato iOS e iPadOS 15.6 per correggere 37 falle di sicurezza, tra cui un problema nell’Apple File System (APFS) segnalato come CVE-2022-32832. Se sfruttata, la vulnerabilità potrebbe consentire a un’app di eseguire codice con i privilegi del kernel, secondo la pagina di supporto di Apple, consentendole di accedere in profondità al dispositivo.
Altre patch di iOS 15.6 risolvono vulnerabilità nel kernel e nel motore del browser WebKit, oltre a falle in IOMobileFrameBuffer, Audio, Libreria foto iCloud, ImageIO, Apple Neural Engine e Driver GPU.
Apple non è a conoscenza di alcuna delle falle patchate che sia stata utilizzata negli attacchi, ma alcune delle vulnerabilità sono piuttosto gravi, soprattutto quelle che riguardano il kernel, il cuore del sistema operativo. È anche possibile che le vulnerabilità vengano concatenate in attacchi, quindi assicuratevi di aggiornare il prima possibile.
Le patch per iOS 15.6 sono state rilasciate insieme a watchOS 8.7, tvOS 15.6, macOS Monterey 12.5, macOS Big Sur 11.6.8 e macOS Catalina 10.15.7 2022-005.
Google Chrome
Google ha rilasciato una patch di emergenza per il suo browser Chrome a luglio, risolvendo quattro problemi, tra cui una falla zero-day che è già stata sfruttata. Tracciata come CVE-2022-2294 e segnalata dai ricercatori di Avast Threat Intelligence, la vulnerabilità di corruzione della memoria in WebRTC è stata sfruttata per ottenere l’esecuzione di shellcode nel processo di rendering di Chrome.
La falla è stata utilizzata in attacchi mirati contro utenti Avast in Medio Oriente, tra cui giornalisti in Libano, per distribuire uno spyware chiamato DevilsTongue.
Sulla base del malware e delle tattiche utilizzate per portare a termine l’attacco, Avast attribuisce l’uso dello zero-day di Chrome a Candiru, un’azienda con sede in Israele che vende spyware ai governi.
Il Patch Tuesday di Microsoft
Il Patch Tuesday di luglio di Microsoft è molto importante e risolve 84 problemi di sicurezza, tra cui una falla già utilizzata in attacchi reali. La vulnerabilità, CVE-2022-22047, è una falla di privilege escalation locale nel Windows Client/Server Runtime Subsystem (CSRSS) delle piattaforme Windows server e client, incluse le ultime versioni di Windows 11 e Windows Server 2022. Secondo Microsoft, un aggressore in grado di sfruttare la vulnerabilità potrebbe ottenere i privilegi di sistema.
Degli 84 problemi risolti nel Patch Tuesday di luglio di Microsoft, 52 erano difetti di escalation dei privilegi, quattro erano vulnerabilità di bypass delle funzioni di sicurezza e 12 erano problemi di esecuzione di codice remoto.
Le patch di sicurezza di Microsoft a volte causano altri problemi e l’aggiornamento di luglio non è stato diverso: Dopo il rilascio, alcuni utenti hanno riscontrato che le applicazioni runtime di MS Access non si aprivano. Fortunatamente, l’azienda sta provvedendo a risolvere il problema.
Bollettino di sicurezza Android di luglio
Google ha rilasciato gli aggiornamenti di luglio per il suo sistema operativo Android, tra cui la correzione di una vulnerabilità di sicurezza critica nel componente System che potrebbe portare all’esecuzione di codice remoto senza la necessità di privilegi aggiuntivi.
Google ha inoltre risolto gravi problemi nel kernel, che potrebbero portare alla divulgazione di informazioni, e nel framework, che potrebbe portare all’escalation di privilegi in locale. Nel frattempo, sono disponibili le patch specifiche di MediaTek, Qualcomm e Unisoc se il vostro dispositivo utilizza questi chip. I dispositivi Samsung stanno iniziando a ricevere la patch di luglio e anche Google ha rilasciato aggiornamenti per la gamma Pixel.
