Nel corso delle ultime due settimane i ricercatori di Google Project Zero hanno segnalato ad Apple ben 7 vulnerabilità di sicurezza attivamente sfruttate dagli aggressori per attaccare gli utenti possessori di dispositivi basati su iOS.
Nel complesso le lacune di sicurezza sono contraddistinte dagli identificativi CVE-2020-27930, CVE-2020-27950 e CVE-2020-27932.
La prima, una volta sfruttata, consente l’esecuzione di codice arbitrario (quindi potenzialmente dannoso) sui dispositivi Apple semplicemente invitando gli utenti ad aprire una pagina contenente fonti di carattere modificate “ad arte”.
Il secondo bug permette a un’app malevola di ottenere il contenuto di specifiche locazioni della memoria del kernel; il terzo di eseguire sul dispositivo codici con i diritti più ampi possibile (si parla di una falla che consente attività di privilege escalation).
I problemi di sicurezza interessano iPhone 6s e successivi, la settima generazioni degli iPod touch, Pad Air 2s e seguenti, iPad mini 4s e seguenti e sono stati appena risolti da Apple con la pubblicazione di iOS 14.2.
L’azienda di Cupertino ha poi risolto vulnerabilità simili anche in macOS Catalina 10.15.7 rilasciando un aggiornamento supplementare per il sistema operativo.
Apple have fixed three issues reported by Project Zero that were being actively exploited in the wild. CVE-2020-27930 (RCE), CVE-2020-27950 (memory leak), and CVE-2020-27932 (kernel privilege escalation). The security bulletin is available here: https://t.co/4OIReajIp6
— Ben Hawkes (@benhawkes) November 5, 2020
Google ha ritenuto opportuno non condividere alcun dettaglio sul funzionamento delle vulnerabilità appena risolte da Apple limitandosi a confermare che sono attualmente sfruttate da gruppi di criminali informatici e che non hanno alcun legame con le elezioni presidenziali USA.
Il consiglio è ovviamente quello di installare iOS 14.2 nel più breve tempo possibile su tutti i dispositivi Apple.
Nei giorni scorsi il team di Project Zero aveva scoperto alcune falle zero-day critiche in Chrome e Windows 10: Falle zero-day in Windows e nei browser derivati da Chromium utilizzate per eseguire codice arbitrario.