Un errore out-of-bounds write si verifica quando, a causa di un bug lato software, dei dati vengono scritti al di fuori dei limiti del buffer provocando la corruzione delle informazioni, un crash a livello di applicazione o di sistema, l’esecuzione di codice arbitrario.
A metà agosto 2022 Apple ha risolto proprio un problema del genere in iOS, iPadOS e macOS. Le vulnerabilità in questione (CVE-2022-32894), infatti, scoperte a livello di kernel del sistema operativo, possono consentire a un aggressore remoto di assumere il completo controllo del dispositivo.
Il kernel è il componente “core” di qualunque sistema operativo e anche in iOS, iPadOS e macOS lavora utilizzando i privilegi più elevati in assoluto.
Accanto al problema a livello di kernel, Apple ha confermato l’esistenza di una seconda vulnerabilità (CVE-2022-32893) che scaturisce sempre da un errore out-of-bounds write: in questo caso il componente interessato è WebKit ovvero il motore di rendering delle pagine Web sviluppato dai tecnici della Mela.
La falla, combinata con quella del kernel, è estremamente critica perché eventuali aggressori possono trarne vantaggio per eseguire codice arbitrario semplicemente inducendo la vittima a visitare una pagine Web malevola.
Poiché il motore WebKit è utilizzato da Safari, da tutti gli altri browser Web installabili sui dispositivi Apple e da molteplici applicazioni, il problema è potenzialmente devastante. Anche perché, senza fornire alcun dettaglio tecnico, Apple ha confermato che sono già in corso attacchi informatici che sfruttano le due vulnerabilità CVE-2022-32893 e CVE-2022-32894.
A conferma della portata degli attacchi, Apple ha deciso oggi di rilasciare patch correttive anche per i dispositivi più vecchi così da non lasciare esposti alle aggressioni i possessori dei device meno moderni.
Oltre ad aver rilasciato iOS 15.6.1, iPadOS 15.6.1 e macOS Monterey 12.5.1 per proteggere dispositivi come i Mac che eseguono Monterey, gli iPhone 6s e successivi, tutti i modelli di iPad Pro, iPad Air 2 e seguenti, iPad di quinta generazione e successivi, iPad mini 4 e seguenti, iPod touch (settima generazione), la Mela rende da oggi disponibili gli aggiornamenti di sicurezza per iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (sesta generazione).
Per questi ultimi dispositivi più datati le patch sono incluse in iOS 12.5.6 che contiene la correzione per la vulnerabilità CVE-2022-32893.
I possessori di dispositivi Apple vengono esortati a procedere quanto prima con il download e l’installazione degli aggiornamenti correttivi.
Anche se Apple ha rivelato di aver ricevuto segnalazioni circa l’effettivo sfruttamento delle vulnerabilità in questione, al momento ha preferito non rivelare informazioni precise sugli attacchi. Nascondendo queste informazioni è probabile che Apple miri a consentire al maggior numero possibile di utenti di applicare gli aggiornamenti di sicurezza in breve tempo prima che altri aggressori raccolgano i dettagli tecnici sulle falle e inizino a utilizzare il codice exploit su più larga scala.
Al momento, infatti, gli attacchi sembrerebbero piuttosto mirati ma con il trascorrere del tempo è quasi scontato che la base di utenti attivamente bersagliata possa divenire molto più ampia.