Anche se stiamo tutti aspettando con impazienza le entusiasmanti funzionalità di iOS 17, Apple non ha dimenticato che la maggior parte del mondo utilizza ancora iOS 16. L’azienda ha già versioni beta di iOS 16.6 in circolazione, ma nel nel frattempo, ha appena rilasciato una patch di sicurezza critica per iOS 16.5.
Si presenta sotto forma di iOS 16.5.1, una versione”sub-point”destinata a correggere bug in iOS 16.5 e chiudere la porta qualsiasi potenziale vulnerabilità di sicurezza.
Quest’ultima versione minore arriva poco più di un mese dopo l’uscita di iOS 16.5 e suggerisce che Apple ha trovato alcune cose che dovevano essere risolte e che non potevano aspettare iOS 16.6, che probabilmente è ancora almeno tra poche settimane.
La nuova versione risolve un bug riscontrato il mese scorso che impediva all’adattatore per fotocamera da illuminazione a USB 3 di Apple di funzionare con accessori che richiedono più energia di quella che l’iPhone è in grado di fornire tramite la propria porta Lightning. Qualcosa in iOS 16.5 sembrava impedire all’iPhone di riconoscere una fonte di alimentazione esterna collegata all’adattatore. Ora questo problema è stato risolto in iOS 16.5.1.
Tuttavia, ciò che è ancora più significativo è che, come con gli aggiornamenti iOS più recenti, iOS 16.5.1 corregge altri due difetti di sicurezza potenzialmente gravi.
I ricercatori di Kaspersky hanno scoperto una vulnerabilità del kernel in iOS 16.5 e probabilmente nelle versioni precedenti, che potrebbe consentire a un’app di”eseguire codice arbitrario con privilegi del kernel [a livello di sistema]”. Un altro problema segnalato ad Apple da un ricercatore anonimo potrebbe”portare all’esecuzione di codice arbitrario”a seguito dell'”elaborazione di contenuti web creati in modo dannoso”.
Sfortunatamente, questi non sono solo exploit teorici. Apple osserva che entrambi questi problemi”potrebbero essere stati sfruttati attivamente”, il che suggerisce che sono già nelle mani di hacker e criminali informatici. Lo scenario migliore è che vengano utilizzati esclusivamente da spyware di livello industriale come Pegasus e Predator, di cui la maggior parte di noi probabilmente non diventerà mai un bersaglio, ma Apple non ottiene questo specifico.
Con una svolta insolita, Apple nota che la vulnerabilità del kernel potrebbe essere stata solo attivamente sfruttato contro le versioni di iOS rilasciate prima di iOS 15.7, ma ciò non cambia il fatto che il difetto esiste ancora in iOS 16.5, il che significa che potrebbe essere utilizzato per prendere di mira versioni più recenti.
Tuttavia, poiché ciò significa che queste vulnerabilità esistevano anche in iOS 15, Apple ha rilasciato iOS 15.7.7 a fornire correzioni di sicurezza per le lineup originali di iPhone SE, iPhone 6s e iPhone 7, che non possono essere aggiornate a iOS 16, insieme a iPadOS 15.7.7 per iPad Air 2, iPad mini 4 e iPod touch.
Ci sono anche aggiornamenti corrispondenti per Apple Watch e Mac, che coprono i modelli attuali con watchOS 9.5.2 e macOS Ventura 13.4.1, oltre a watchOS 8.8.1, macOS Monterey 12.6.7 e macOS Big Sur 11.7.8 per Apple Watch e Mac meno recenti che non possono eseguire i sistemi operativi più recenti.
L’aggiornamento macOS Ventura 13.4 risolve gli stessi difetti del kernel e del webkit di iOS 16.5.1; tuttavia, sia gli aggiornamenti watchOS che le versioni precedenti di macOS Monterey e Big Sur risolvono solo il difetto del kernel, suggerendo che la vulnerabilità WebKit non esisteva in quelle versioni precedenti.
