Abbiamo appena finito di parlarne (e aggiornare i nostri dispositivi), che ancora una volta Apple deve correre ai ripari per altre vulnerabilità zero-day, ancora una volta con obiettivo il motore WebKit per i suoi browser e naturalmente con il coinvolgimento dell’intero suo ecosistema (dagli iPhone ai dispositivi macOS). 

Come sempre accade in queste circostanze, Apple, come qualsiasi altro vendor in procinto di mitigare il rischio di uno zero-day appena svelato, non ha rilevato molti dettagli tecnici riguardo a queste vulnerabilità, così come non vi è ancora traccia documentale sul database NVD del NIST. 

Stiamo solo agli annunci relativi alle patch di sicurezza che Apple ha diffuso per i suoi dispositivi: si tratta dell’annuncio https://support.apple.com/en-us/HT213092 per i sistemi macOS (stiamo parlando dell’ultimo della famiglia, ossia la versione 12, che ha nome Monterey) e dell’annuncio per l’insieme più recente dell’ecosistema mobile di Apple (iPhone, iPad, iPod) https://support.apple.com/en-us/HT213093. 

Pur in ambienti differenti, tutti i casi citati derivano da problema che colpisce il framework WebKit, componente che gestisce la navigazione dei contenuti in questi ambienti, quindi la vulnerabilità consente la violazione semplicemente attraverso l’elaborazione di contenuti Web appositamente congegnati per il suo sfruttamento. 

In particolare la debolezza in termini di sviluppo software è la CWE-416, che indica un problema di utilizzo di memoria dopo che questa sia stata liberata (“use after free”), che significa consentire di accedere ad aree di memoria dinamica non più dedicate all’uso precedentemente previsto dal software in quanto lasciata libera (free), che si dovrebbe intendere quindi non più utilizzabile: qualora dunque un codice faccia invero ancora riferimento a questa area di memoria, questo potrebbe interferire su quelle aree di memoria divenute invece oggetto d’uso da parte di altre parti del codice e quindi con altre finalità, creando una indebita interferenza che può portare a differenti problemi: dall’alterazione dei dati fino all’interruzione imprevista dell’applicazione. 

Naturalmente nel mezzo c’è l’abuso, ed in questo caso l’abuso è la possibilità di eseguire codice arbitrario proveniente evidentemente dalla fonte di minaccia (RCE). 

Quindi, il caso più fortunato che possiamo aspettarci è una interruzione anomala del codice, che in questo caso è il sistema operativo stesso: così almeno l’attaccante non avrà modo di riuscire nell’impresa di violare il nostro sistema. Ma non si può sperare sono nel caso. 

La vulnerabilità nel suo complesso è stata registrata come CVE-2022-22620, di cui, come dicevamo, non abbiamo allo stato (e ragionevolmente) ulteriori dettagli, se non che anche in questo caso Apple considera possibile uno sfruttamento già attivo di questa minaccia. 

Non resta che applicare urgentemente gli aggiornamenti di sicurezza già messi a disposizione da Apple per macOS (12.2.1), iOS (15.3.1) e iPadOS (15.3.1). 

Tweet