Con gli ultimi aggiornamenti per macOS Monterey 12.2 (https://support.apple.com/en-us/HT213054), iOS 15.3 e iPadOS 15.3 (https://support.apple.com/en-us/HT213053), ha rimosso il rischio di sfruttamento di tutta una serie di vulnerabilità censite per i suoi prodotti (da CVE-2022-22578 a CVE-2022-22579, da CVE-2022-22583 a CVE-2022-22587 e da CVE-2022-22589 a CVE-2022-22594).
Particolare interesse destano la CVE-2022-22594 (in quanto ne avevamo già parlato e attendevamo la pubblicazione della patch) e la CVE-2022-22587. Entrambe sono state (o sono) vulnerabilità 0-day; entrambe hanno infatti mostrato un ritardo nella pubblicazione dei dettagli “durante” le azioni correttive implementate da Apple. Per la prima avevamo ancora evidenze nel sistema bugzilla del progetto di uno stato transitorio tra scoperta e soluzione, mentre le seconda è ancora associata (nel momento che scriviamo) ad un CVE indicato come “riservato” sul sito di MITRE (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22587), quindi senza alcuna attribuzione. Entrambi i fenomeni sono caratteristici della riservatezza alla pubblicazione dovuta nel caso di uno 0-day rilevato da ricercatori indipendenti al vendor relativo.
La CVE-2022-22594 trova finalmente correzione alla violazione della Same Origin Policy del IndexedDB nel framework WebKit Storage che affliggeva Safari e qualsiasi applicazione che avesse utilizzato WebKit come piattaforma per la navigazione nei sistemi Apple precedenti a questo aggiornamento. Si trattava di una forma di violazione capace di divulgare a domini non autorizzati gli identificativi utente utilizzati da molte applicazioni web note (Google, Facebook, Netflix, ecc) per via di una insana convenzione di questi ad utilizzare tali identificatori come nomi per i database IndexedDB che (erroneamente) il bug nel software Apple replicava (seppur nel solo nome, e quindi vuoti) in tutte le finestre, frame o tab anche di domini non relativi all’origine dell’impianto dei dati che hanno necessitato la gestione via IndexedDB.
La CVE-2022-22587 invece desta maggiori preoccupazioni in quanto Apple dichiara di aver evidenze di un probabile sfruttamento avvenuto prima di questo correttivo.
Anche in questo caso a soffrirne è l’intero ecosistema Apple (per via dell’ormai convergenza di molte tecnologie), specificatamente nell’utilizzo dell’estensione di kernel IOMobileFrameBuffer che consente l’accesso ad un framebuffer, ossia un’area si memoria di un dispositivo di visualizzazione (schermo).
Mediante questa componente di livello kernel, e la corrispondente interfaccia applicativa, un software realizzato appositamente potrebbe eseguire codice arbitrario con privilegio kernel, quindi un privilegio molto elevato e per questo molto dannoso.
Le vulnerabilità come questa, che consentono RCE (Remote Code Execution), sono le più ricercate (da agenti di minaccia e cacciatori di minacce) perché i più pericolosi: fanno gola soprattutto agli attori di minaccia di stati nazionali per le capacità di introdursi e agire con intenti di spionaggio sui dispositivi personali delle vittime.
Non si tratta della prima volta che questa componente kernel soffre di una vulnerabilità così grave; è stata infatti colpita precedentemente da problema simile: si trattava della possibile corruzione memoria e conseguente sfruttamento del privilegio kernel descritta nella vulnerabilità CVE-2021-30883.
Per gli utenti non resta che affrettarsi ad aggiornare i dispositivi, mentre per la comunità degli analisti non resta che mantenere alta la sorveglianza verso queste vulnerabilità.