Apple ha recentemente rilasciato un aggiornamento per tutti i suoi dispositivi che corregge una grave falla di sicurezza. A farcelo sapere è il CSIRT (Computer Security Incident Response Team) che ha pubblicato un alert sul proprio sito. In realtà, le vulnerabilità risolte sarebbero ben tre, tuttavia una sarebbe addirittura 0-day (cioè che è stata scoperta recentemente). A scoprirla è stato un ricercatore del Citizien Lab, un gruppo di ricerca dell’Università di Toronto.
La vulnerabilità interesserebbe WebKit, un framework di Apple che viene utilizzato da Safari come user-agent e viene spesso implementato nelle app di iOS per poter integrare contenuti Web. Essa permetterebbe l’elaborazione di contenuti web malevoli che potrebbero portare all’esecuzione di codice arbitrario sulla macchina vittima. Inoltre, Apple fa sapere di essere a conoscenza di alcune segnalazioni secondo cui questa vulnerabilità sarebbe già stata sfruttata attivamente in rete.
In questo aggiornamento è stata risolta anche un’altra vulnerabilità lato kernel, meno grave della precedente, che permetteva alle app di eseguire codice arbitrario con privilegi di amministratore.
Webkit: una storia che si ripete
Non è la prima volta che vengono scoperte queste tipo di vulnerabilità. Già nei primi quattro mesi del 2021, infatti, Apple aveva corretto sette vulnerabilità, delle quali ben sei appartenevano a WebKit. Un numero molto preoccupante, a detta di alcuni esperti. Tuttavia, nel 2022 le cose sembravano essere migliorate, visto che di nove bug risolti in iOS, solo quattro appartenevano a Webkit.