Nuovo zero-day per iOS e Apple corre ai ripari con una patch
Apple si trova di nuovo, dopo circa un mese, ad affrontare una vulnerabilità zero-day che impatta i suoi dispositivi e a dover rilasciare una nuova patch di sicurezza. Anche questa volta è WebKit ad essere attaccato mediante l’utilizzo i contenti web realizzati ad hoc dagli attaccanti. WebKit è il motore di rendering utilizzato da Safari, Mail, App Store e molte altre applicazioni di macOS, iOS e Linux. In questo caso gli attaccanti sono in grado di eseguire codice arbitrario che potrebbe permettere l’esfiltrazione di dati personali finanche generare arresti improvvisi del sistema operativo.
La vulnerabilità zero-day di Apple e la patch per iOS
L’azienda ha emanato un comunicato stampa in queste ore dove si dichiara consapevole della presenza di tale vulnerabilità. Il codice della zero-day è CVE-2022-22620 ed attualmente è classificata come riservata nella banca dati del MITRE. Tuttavia, da quanto è emerso fra le notizie circolanti in rete, si dovrebbe trattare di una tipologia Use-After-Free che riguarda l’utilizzo della memoria dinamica.
La memoria dinamica, nei moderni sistemi operativi, permette di allocare e liberare spazio a tempo di esecuzione. Accade, però, nei casi in cui la memoria non è gestita correttamente che i puntatori usati per referenziare porzioni di memoria diventino pendenti. In questo caso, cioè, sono capaci di puntare a un’area ormai liberata e che dovrebbe essere non più valida.
Andando più nel dettaglio, un programma in esecuzione ha una certa area di memoria dinamica allocata e, per qualche ragione, tale area viene poi liberata. Tuttavia, anziché cancellare il puntatore (ad esempio sovrascrivendo NULL), lo stesso continuerà a puntare all’area di memoria liberata diventando un cosiddetto dangling pointer. Nel caso in cui la porzione di memoria liberata venga nuovamente referenziata (considerata la possibilità di ulteriori sovrascritture nel mentre), si potrebbe incorrere in comportamenti inaspettati del programma.
L’impatto sugli utenti e lo scenario d’attacco
Gli hacker, sfruttando la vulnerabilità Use-After-Free, possono potenzialmente essere in grado di passare codice arbitrario al programma e farlo eseguire attraverso l’uso dei puntatori pendenti. La ragione è tipicamente da ricercare in errori nelle istruzioni condizionali oppure nelle routine responsabili di liberare la memoria.
I dispositivi impattati sono parecchi, a partire dagli iPhone fino ai notebook che eseguono macOS Monterey. In particolare, i sistemi operativi individuati sono macOS Monterey 12.2.1, iOS 15.3.1 e iPadOS 15.3.1 che hanno ricevuto tutti un aggiornamento di sicurezza. Infatti, come anticipato nel titolo, Apple è subito corsa ai ripari, rilasciando una patch che modifica la modalità con cui i sistemi operativi gestiscono la memoria dinamica.
Purtroppo, Apple è sempre più spesso vittima di questo tipo di attacchi, mettendo in luce una gestione dei propri sistemi operativi non sempre perfetta. Nel solo 2022, l’azienda ha già sanato altre due vulnerabilità, di cui una riguardante l’utilizzo della memoria e un’altra ancora relativa a WebKit. Considerato, ad ogni modo, che basterebbe visitare un sito web malevolo per essere colpiti da quest’ultima vulnerabilità zero-day, il nostro consiglio è di aggiornare quanto prima il sistema operativo all’ultima versione. In questo modo si avrà la certezza di essere protetti e di aver adottato tutte le misure atte a prevenire potenziali rischi di sicurezza.