Apple ha rilasciato oggi iOS 16.5 e, sebbene offra alcune interessanti nuove funzionalità, queste non sono le uniche ragioni per installare l’ultimo aggiornamento software di Apple sul tuo iPhone.
Come sembra essere la norma con ogni nuova versione di iOS in questi giorni, iOS 16.5 e i suoi fratelli-iPadOS 16.5, tvOS 16.5, watchOS 9.5 e macOS 13.4-includono tutti un lungo elenco di correzioni di sicurezza e almeno tre di questi sono problemi seri.
Apple ha elencato un totale di 39 vulnerabilità di sicurezza che sono state corrette in iOS 16.5 e iPadOS 16.5 , tre dei quali”potrebbero essere stati attivamente sfruttati”.
Sebbene queste tre non siano le uniche gravi vulnerabilità, sono rese più gravi dal fatto che gli analisti della sicurezza ritengono che hacker e truffatori le abbiano già utilizzate per attaccare gli utenti iPhone. Questo li porta oltre il regno della maggior parte dei difetti di sicurezza, che i ricercatori spesso scoprono prima che possano essere utilizzati per causare danni.
Tutte e tre le vulnerabilità”sfruttate attivamente”si trovano nei framework WebKit di Apple, il che significa che gli aggressori potrebbero potenzialmente irrompere nel tuo iPhone o accedere a dati sensibili da una pagina Web creata in modo dannoso o persino da un collegamento inviato a un app di messaggistica che visualizza le anteprime web.
In particolare, una delle vulnerabilità consentirebbe a un utente malintenzionato remoto di uscire dalla”sandbox dei contenuti Web”, l’area di memoria partizionata che impedisce alle app Web di accedere ad altre risorse di sistema. Un altro potrebbe”divulgare informazioni sensibili”e il terzo potrebbe”portare all’esecuzione di codice arbitrario”.
Tuttavia, ciò non significa che queste siano le uniche vulnerabilità di sicurezza sfruttate dai criminali informatici. Sono solo gli unici tre che i bravi ragazzi-Apple e i ricercatori di sicurezza con cui lavora-conoscono. È del tutto possibile che alcuni o tutti i restanti 36 difetti di sicurezza siano noti anche agli hacker”black hat”che si guadagnano da vivere cercando di trovare modi per entrare negli iPhone delle persone.
Gli altri problemi non sono meno gravi solo perché non ci sono prove che siano stati ancora sfruttati. Includono cose come un difetto nelle funzionalità di accessibilità e posizione principale che potrebbero consentire a un’app di aggirare le preferenze sulla privacy, possibilmente facendo cose come leggere informazioni sensibili sulla posizione o accedere a contatti e foto senza autorizzazione e vulnerabilità del kernel che potrebbero consentire alle app di”eseguire arbitrari codice con privilegi del kernel [a livello di sistema completo]”.
Ancora più significativo, ora che Apple ha pubblicato un elenco dei problemi che sono stati risolti, ha anche fornito ulteriori indizi agli hacker malintenzionati per trovare modi per sfruttare i dispositivi che eseguono ancora iOS 16.4.1.
Un giro completo di correzioni di sicurezza
Molti di questi problemi non riguardano solo iOS/iPadOS 16.4.1. Infatti, correggere queste vulnerabilità è così cruciale che Apple ha rilasciato aggiornamenti di sicurezza oggi per i dispositivi meno recenti che non sono in grado di eseguire le ultime versioni di iOS e macOS.
Questo include iOS/iPadOS 15.7.6, che corregge 17 vulnerabilità nel precedente iOS 15 e macOS Big Sur 11.7.7 e macOS Monterey 12.6.6, che risolvono entrambi oltre 25 problemi di sicurezza in quelle versioni di macOS.
Anche Apple Watch e Apple TV non sono immuni da questi problemi; watchOS 9.5 corregge 32 vulnerabilità e tvOS 16.5 risolve ben 49 problemi di sicurezza. Entrambi erano anche vulnerabili ai tre problemi di”sfruttamento attivo”.
In altre parole, anche se la nuova funzionalità multiview sports non è sufficiente per invogliarti a installare tvOS 16.5, le patch di sicurezza e le correzioni dovrebbero essere. Idem per gli sfondi Pride e la scheda Sport in iOS 16.5. Mentre molte persone sono nervose all’idea di installare nuovi aggiornamenti software per paura di rompere le cose, nel mondo di oggi, il rischio maggiore è quello di rimanere vulnerabili non installando gli ultimi aggiornamenti di sicurezza.
