Scopri le offerte lampo di Amazon
Gli aggiornamenti rilasciati da Apple a iOS 15.4.1 e MacOS Monterey 12.3.1 nella giornata del 31/03/2022 sono da installare subito perché chiudono due falle nella sicurezza sfruttando le quali è possibile leggere la memoria del kernel sul Mac ed eseguire codice arbitrario su iPhone e iPad.
Eventuali malware che precedentemente abbiano tentato di sfruttare le vulnerabilità non sarebbero rilevati da XProtect, l’antivirus di sistema di Apple, ne’ da prodotti di terze parti in quanto si tratta di vulnerabilità cosiddette “zero days” segnalate ad Apple da ricercatori indipendenti. Apple ha precisato che eventuali attacchi compiuti precedentemente potrebbero essere andati a segno infettando effettivamente le macchine degli utenti.
Le vulnerabilità erano di tipo out-of-bound in quanto sfruttavano la possibilità di accedere a dati contenuti in posizioni di memoria diverse da quelle che il sistema operativo assegna all’applicazione.
La prima vulnerabilità, CVE-2022-22674, colpiva i Mac con Archittetura Intel e riguardava il driver grafico attraverso il quale si poteva arrivare a leggere la memoria del kernel.
La seconda vulnerabilità, CVE-2022-22675, era presente nel codice del decoder AppleAVD e consentiva alle app di eseguire codice arbitrario con i privilegi del kernel. AppleAVD è un framework di decodifica audio e video e la falla questa volta interessava Mac, iPhone e iPad.
L’aggiornamento a iOS 15.4.1, inoltre, permette di correggere un bug relativo agli idevice più recenti con lo schermo a frequenza variabile che faceva consumare più in fretta la batteria.