Apple patch iOS 15 per affrontare la vulnerabilità del giorno zero

Meno di un mese dopo il rilascio del sistema operativo mobile di Apple, iOS 15 è stato aggiornato alla versione 15.0.2 per affrontare una vulnerabilità scoperta di recente che interessa la piattaforma.

La vulnerabilità è codificata come CVE-2021-30883 e presenta un livello di rischio elevato. La vulnerabilità riguarda l'escalation dei privilegi e la possibilità per attori esterni di eseguire codice potenzialmente dannoso con privilegi del kernel.

La descrizione ufficiale fornita da Apple afferma che "un'applicazione potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel".

La patch è attiva e tutti gli utenti di dispositivi mobili Apple sono incoraggiati ad aggiornare alla 15.0.2 il prima possibile, poiché la vulnerabilità viene segnalata come già attivamente sfruttata in natura.

La vulnerabilità ha interessato un'estensione del kernel iOS denominata IOMobileFrameBuffer che viene solitamente utilizzata per gestire il frame buffer dello schermo. SecurityWeek ha riferito che finora nel 2021, questo è il sedicesimo zero-day scoperto nei prodotti Apple che viene attivamente sfruttato, su un totale di 76 attacchi che abusano delle vulnerabilità in natura.

Ironia della sorte, una patch di sicurezza segue molto brevemente dopo l'incremento del numero di versione principale del sistema operativo Apple, con la versione 15 molto focalizzata sull'espansione e l'aggiornamento delle funzionalità di sicurezza.

Una caratteristica di punta del grande aggiornamento è stato il generatore di codici di autenticazione a più fattori integrato, nonché le funzionalità estese che mirano a limitare il monitoraggio del comportamento degli utenti. Ciò ha effettivamente eliminato la necessità per gli utenti di dispositivi Apple di scaricare applicazioni di terze parti per gestire l'autenticazione MFA e automatizzato il processo di alimentazione dei codici di autenticazione a più fattori nell'ambiente che li richiede.

Un'altra funzionalità introdotta nell'aggiornamento 15.0 è ciò che Apple chiama Mail Privacy Protection. Questa nuova funzionalità dovrebbe impedire all'email marketing di raccogliere informazioni su ciò che l'utente finale fa nella propria app di posta, limitando efficacemente la pubblicità mirata e riducendo al minimo la raccolta di dati.

October 12, 2021