Apple rilascia le patch di sicurezza per le vulnerabilità Pwn2Own in Safari, macOS ed iOS

Apple ha chiuso, lunedì scorso, 66 vulnerabilità individuate in sette linee di prodotti diversi, tra cui Safari, iTunes, macOS ed iOS.

Molte delle correzioni introdotte dalla casa di Cupertino – in special modo quelle che riguardano macOS e Safari – risolvono vulnerabilità scoperte al Pwn2Own, la famosa competizione per hacker che si tiene ogni anno in Canada nel corso del CanSecWest, la nota conferenza sulla sicurezza informatica. Durante la singolare competizione di hacking, che ha avuto luogo alla metà dello scorso mese di marzo, i concorrenti, per il fatto di aver “colpito” varie falle nei prodotti Apple, hanno guadagnato, complessivamente, 143.000 dollari $.

Gran parte delle correzioni rilasciate nella giornata di lunedì 15 maggio risolve vulnerabilità relative alla corruzione della memoria, molte delle quali possono portare all’esecuzione di codice da remoto in WebKit. Il noto motore per browser web figura in Safari ed iOS, così come in iCloud per Windows, iTunes per Windows, tvOS e watchOS: tutti questi prodotti, lunedì scorso, hanno ricevuto degli aggiornamenti.

Lokihardt – noto hacker, un tempo impegnato nella competizione Pwn2Own – e che fa parte, adesso, del team Project Zero di Google, ha individuato sette dei bug scoperti nell’engine WebKit e, in totale, 13 vulnerabilità in Safari.

A due hacker tedeschi, Samuel Groß e Niklas Baumstark, è stato invece riconosciuto di aver trovato cinque bug, ovvero una vulnerabilità in WebKit, un bug in DiskArbitration, e tre bug di tipo “sandbox escape” – relativi all’elusione della sandbox – nel framework Speech e nelle funzionalità di sicurezza del sistema operativo. Gli hacker, nell’ambito del contest Pwn2Own, hanno fatto leva su una vulnerabilità “use-after-free” (UAF) in Safari, su tre bug logici, e su una “null pointer dereference”, per sfruttare Safari ed elevare i privilegi a root in macOS. In qualità di componente “ad effetto” dell’attacco portato, i due hacker hanno poi fatto comparire un messaggio speciale – personalizzato – ovvero “PWNED BY NIKLASB & SAELO”, sulla Touch Bar di un MacBook Pro.

L’update rilasciato per macOS risolve ugualmente una serie di bug in WindowServer – un componente adibito a gestire le richieste che intervengono tra le applicazioni OS X e l’hardware grafico della macchina – scoperti proprio al concorso Pwn2Own. Nella circostanza, gli hacker hanno fatto ricorso ad una “use-after-free” nel componente stesso, a quattro bug “type confusion” in Safari e ad una “information disclosure” nel browser, per ottenere l’accesso di root su macOS. L’aggiornamento per macOS corregge, inoltre, dei bug in WindowServer identificati da Richard Zhu, Keen Lab e dal Team Sniper di PC Manager; anche tali falle sono state individuate nel corso della competizione per hacker Pwn2Own.

Secondo Apple, 11 delle vulnerabilità risolte in iOS avrebbero potuto condurre all’esecuzione di codice, sia tramite un’applicazione – una porzione di contenuto web realizzata con intento malevolo – sia attraverso una query di tipo SQL. Sette bug individuati in macOS avrebbero poi potuto essere utilizzati per eseguire del codice arbitrario. Una di queste vulnerabilità – scovata da Ian Beer, di Google – avrebbe infine potuto consentire ad un’applicazione di eseguire codice arbitrario con privilegi di kernel.

Gli aggiornamenti effettuati hanno ugualmente risolto una “info leak” critica a livello di componente kernel (CVE-2017-6987), scoperta da Patrick Wardle, direttore della ricerca presso Synack. Il bug, descritto in maniera approfondita da Wardle nello scorso mese di aprile, risultava presente non solo in macOS 10.12.3, ma anche in iOS, Apple TV (tvOS) ed Apple Watch (watchOS). Wardle aveva allora definito il bug come “una 0-day non ancora patchata”, sebbene sottolineasse il fatto che, in un sistema, avrebbe dovuto comunque essere attivato il controllo dell’accesso ai file.

Sono stati inoltre fissati quattro bug in SQLite, una libreria cross-platform scritta in linguaggio C, che “alimenta” un motore SQL in iOS, tvOs e watchOS. I bug sono stati individuati da OSS-Fuzz, uno speciale programma avviato da Google nello scorso mese di dicembre per monitorare in maniera continuativa il software open source, al fine di rendere quest’ultimo più sicuro e “stabile”. Google ha affermato che, grazie al programma in questione, negli ultimi cinque mesi sono stati scoperti oltre 1.000 bug a livello di codice open source; i bug sopra menzionati, tuttavia, sono stati i primi, tra quelli individuati dal programma OSS-Fuzz, ad essere risolti da Apple.

In base alle note che hanno accompagnato la release effettuata da Apple, l’aggiornamento per iOS si focalizza, principalmente, sulla correzione dei bug, e su alcune migliorie apportate al sistema operativo. L’update per macOS, tuttavia, risolve ugualmente una particolare problematica che si verificava nel momento in cui l’audio veniva riprodotto tramite le cuffie USB, ed accresce ulteriormente, inoltre, la compatibilità di macOS con l’Apple Store di Apple.

Il numero degli aggiornamenti eseguiti, ad ogni caso, risulta notevolmente inferiore rispetto all’ultima volta in cui i prodotti Apple hanno di fatto ricevuto un update. In marzo, ad esempio, la società di Cupertino ha risolto ben 223 vulnerabilità, un quarto delle quali avrebbe potuto condurre all’esecuzione di codice arbitrario. Gli aggiornamenti effettuati portano così iOS alla versione 10.3.2, macOS Sierra alla 10.12.5, watchOS alla 3.2.2, tvOS alla 10.2.1, iCloud per Windows alla 6.2.1, Safari alla 10.1.1 ed iTunes per Windows alla 12.6.1.

Secondo la Zero Day Initiative (ZDI), che contribuisce, assieme a Trend Micro, ad organizzare e sponsorizzare l’evento Pwn2Own, il 35 percento dei bug fissati da Apple durante la scorsa settimana è stato individuato proprio attraverso tale contest.

Dustin Childs, che gestisce le comunicazioni per la Zero Day Initiative, ha ricapitolato le varie vulnerabilità in un blog post pubblicato martedì 16 maggio, lasciando poi intendere come certi eventi problematici che si verificano nel mondo “reale”, quali, per l’appunto, la vasta epidemia informatica generata dal ransomware WannaCry, possano essere efficacemente prevenuti attraverso un’adeguata gestione delle patch via via rilasciate.

“Apple non rende noto se qualcuna di tali issue risulti pubblicamente conosciuta, oppure si trovi attivamente sotto attacco, ma come hanno recentemente evidenziato determinati eventi che si sono prodotti nel mondo reale, il patching si rivela essere, attualmente, di fondamentale importanza”, scrive Childs. “Può forse non essere il compito più semplice da realizzare, specialmente quando le patch vengono rilasciate senza troppo clamore. Le conseguenze prodotte dalla mancata applicazione di tali update, tuttavia, si potrebbero dimostrare particolarmente onerose, nei mesi a venire”.

Gli aggiornamenti sono arrivati il ​​giorno prima dell’annuncio, da parte di Apple, che la stessa avrebbe iniziato a dare una sorta di giro di vite alle applicazioni di terze parti in grado di accedere ai dati utente di iCloud, come, ad esempio, Microsoft Outlook. Attraverso un’e-mail diffusa martedì scorso dall’Apple Support, la società ha comunicato che, il prossimo 15 giugno, essa avrebbe richiesto agli utenti di impostare password specifiche per le suddette applicazioni.

Tale misura di sicurezza invita essenzialmente gli utenti delle applicazioni non native ad adottare l’autenticazione a due fattori per tutte quelle applicazioni che possono accedere ad iCloud, quali Outlook e Mozilla Thunderbird.

“Se avete già ottenuto l’accesso ad un’applicazione di terze parti utilizzando la vostra password primaria relativa all’ID Apple, sarete automaticamente “estromessi” nel momento stesso in cui tale cambiamento diverrà effettivo. Dovrete pertanto generare una password specifica per l’applicazione, ed effettuare nuovamente l’accesso”, si legge nell’e-mail.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *