Apple non ha ancora risolto una vulnerabilità nel WebKit (il “motore” di utilizzato per il rendering delle pagine web in iOS e macOS). La vulnerabilità in questione, individuata da ricercatori specializzati in sicurezza dell’azienda Theori, riguarda l’implementazione delle API AudioWorklet nel WebKit. Il bug può portare a crash in Safari ma secondo Theori potrebbe teoricamente essere sfruttato anche per attacchi “type-flaw” che si basano sulla similitudine eccessiva tra differenti tipi del protocollo stesso.
La vulnerabilità è legata all’AudioWorklet, interfaccia che consente agli sviluppatori di controllare, renderizzare tracce e riprodurre in output l’audio; sfruttando la falla, un attacker potrebbe teoricamente eseguire codice malevolo sui dispositivi. Non è ad ogni modo così semplice: il cybercriminale deve bypssare meccanismi quali il Pointer Authentication Code (PAC) integrato a protezione di macOS e iOS e altri che preservano l’integrità del sistema con firme cifrate proteggendo l’esecuzione di codice in memoria.
La falla è stata risolta da sviluppatori open-source a inizio maggio ma nonostante la disponibilità di un fix la vulnerabilità è ancora presente nelle ultime versioni di iOS e macOS. “Idealmente, l’intervallo di tempo tra una patch pubblica e una release stabile deve essere il più breve possibile. In questo caso, la nuova versione di iOS rimane vulnerabile settimane dopo la disponibilità della patch”, scrive Tim Becker di Theori. I ricercatori del Project Zero di Google riferiscono di un totale di 7 vulnerabilità individuate da inizio 2021 nei sistemi Apple, non ancora risolte e che potrebbero essere usate per scopi malevoli; molte di queste falle sono legate al WebKit.
Apple aggiorna regolarmente macOS, iPadOS, tvOS e watchOS e per garantire la sicurezza è sempre opportuno mantenere i sistemi aggiornati, installando gli update non appena questi sono disponibili.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
