Apple ha rilasciato quest’oggi iOS 12.4.1, nuovo aggiornamento che corregge il bug di sicurezza emerso nella precedente versione del sistema operativo e in grado, per la prima volta dopo anni, di consentire il jailbreaking: Jailbreaking dei dispositivi iOS: pubblicato un nuovo codice exploit a distanza di anni.
La falla di sicurezza era stata scoperta da Ned Williamson del team di Google Project Zero, risolta dai tecnici Apple a maggio ma erroneamente reintrodotta nel precedente update di iOS.
Nel documento di supporto che descrive le novità di iOS 12.4.1, Apple riconosce il prezioso lavoro svolto da Williamson e dal ricercatore conosciuto con il nickname di Pwn20wnd e conferma che il problema di sicurezza, se sfruttato da parte di applicazioni malevole, avrebbe potuto permettere l’esecuzione di codice arbitrario sul dispositivo mobile utilizzando i privilegi più elevati in assoluto.
Gli utenti sono invitati ad aggiornare a iOS 12.4.1 quanto prima anche perché, come evidenziato da diversi ricercatori, il bug di sicurezza adesso risolto può essere eventualmente sfruttato anche da remoto combinando lo specifico codice exploit con qualche vulnerabilità del browser Safari. Per non parlare di eventuali applicazioni pubblicate sull’App Store che nascondano comportamenti pericolosi.
The iOS 12.4.1 security content mentions patching the bug used by the SockPuppet exploit.
Apple also credited me for assistance with the kernel – I credited them for the jailbreak so it seems like they wanted to do the same thing ;P. pic.twitter.com/IvyOgv0G3v
— Pwn20wnd is reviving 0-Days (@Pwn20wnd) August 26, 2019