I dispositivi Apple rimangono vulnerabili a un difetto di WebKit che potrebbe consentire l’esecuzione di codice dannoso

Published by IT Info on

Il motore di rendering WebKit di Safari ha un difetto che potrebbe causare l’arresto anomalo del browser e consentire l’esecuzione di codice dannoso, e Apple non l’ha ancora corretto anche se è stata eseguita una correzione disponibile per settimane.

PUNTI SALIENTI DELLA STORIA:

  • Una correzione per un difetto di WebKit è disponibile da settimane.
  • Apple non ha corretto la vulnerabilità nonostante la correzione disponibile.
  • Il difetto è ancora presente in iOS, iPadOS e macOS.

Apple, WebKit vulnerabilità e patch-gap

Un nuovo rapporto da ArsTechnica spiega che il motore WebKit di Safari ha un difetto sfruttabile su iOS, iPadOS e macOS che potrebbe consentire l’esecuzione di codice dannoso su iPhone, iPad, iPod touch e Mac. Curiosamente, una correzione per il difetto di Webkit è disponibile da tre settimane.

Tuttavia, Apple deve ancora implementarlo.

I recenti aggiornamenti del sistema operativo Apple includono correzioni per diverse vulnerabilità trovate in WebKit, ma non per questo particolare difetto anche se potrebbe aprire la porta a ulteriori attacchi dannosi. L’azienda sta attualmente testando iOS 14.7 con i suoi sviluppatori registrati e beta tester pubblici, ma non è chiaro se gli aggiornamenti includano patch per la vulnerabilità.

Un bug in AudioWorklet sembra consentire l’esecuzione di codice dannoso sul dispositivo. AudioWorklet è una funzionalità WebKit responsabile del rendering dell’audio dalle pagine Web.

Una correzione per il bug AudioWorklet è stata sviluppata da sviluppatori di terze parti diverse settimane fa, ma non è chiaro perché Apple non l’abbia già implementata. Ovviamente, l’azienda potrebbe facilmente includere le correzioni necessarie nei prossimi aggiornamenti del sistema operativo.

WebKit è un motore di layout creato da Apple che viene utilizzato da Safari e alcuni altri browser web.

“Noi non si aspettava che Safari fosse ancora vulnerabile nelle settimane successive alla pubblicazione della patch”, ha commentato il ricercatore di vulnerabilità Tim Becker della startup di sicurezza informatica Theori su Twitter .

Questo exploit è stata una sfida divertente. Non ci aspettavamo che Safari fosse ancora vulnerabile settimane dopo la pubblicazione della patch, ma eccoci qui… https://t.co/jkEH7w498Q

Immagine

Becker opina in un post pubblicato sul Theori blog che l’esistenza del vulnerabilità WebKit ancora da correggere dimostra ancora una volta che”il gap di patch è un pericolo significativo con lo sviluppo open source”.

Il gap di patch si riferisce alla finestra di tempo tra una patch pubblica per una sicurezza difetto e una versione stabile che integra la patch nel software principale. Questa finestra dovrebbe essere la più piccola possibile per impedire ai malintenzionati di sfruttare la vulnerabilità sui dispositivi in ​​circolazione.

“Idealmente, la finestra di tempo tra una patch pubblica e una versione stabile è la più piccola possibile.”Becker ha scritto.”In questo caso, una nuova versione di iOS rimane vulnerabile settimane dopo che la patch è stata pubblica.”

Categories: IT Info
Tags:

Related Posts

IT Info

PayPal in calo nonostante l’aumento delle partecipazioni in criptovalute

I prezzi delle azioni PayPal sono in calo e attualmente sono in calo dell’80% rispetto ai picchi del 2021; il prelievo più grande di sempre, i dati di mercato del 12 maggio mostrano. PYPL ha Read more…

IT Info

PEPE, DOGE, SHIB Guarda la feroce concorrenza del nuovo token FETH

Lo spazio delle meme coin è stato a lungo dominato da artisti del calibro di DOGE, SHIB e PEPE, ma ora un nuovo concorrente nello spazio ha segnalato un cambiamento nel mercato. ETH Furbo (FETH) Read more…

IT Info

Generatore di contratti gratuito per team legali con flusso di lavoro di approvazione: bozza

Valutazioni dell’editore: Valutazioni degli utenti:[Totale: 0 Media: 0] @media(larghezza minima: 500px) { } @media(larghezza minima: 800px) { } Draft di Robin AI è uno strumento gratuito basato sull’intelligenza artificiale che consente ai team commerciali di Read more…