Fastweb

Aggiornamento iOS, correzione di bug critici per Mac e iPhone

Zoom Web & Digital #zoom #sicurezza Zoom, problemi di sicurezza e privacy In questi giorni è l'app di videochat più utilizzata, ma ha evidenziato parecchi problemi di sicurezza e privacy
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Aggiornamento iOS, correzione di bug critici per Mac e iPhone FASTWEB S.p.A.
iOS
Smartphone & Gadget
Apple propone un aggiornamento del sistema operativo che corregge alcuni bug di sicurezza piuttosto critici

Apple ha appena annunciato il suo ultimo round di aggiornamenti di sicurezza.

Come al solito, le correzioni di Apple arrivano a sorpresa, data l'insistenza dell'azienda secondo cui le correzioni di sicurezza dovrebbero essere gestite pubblicandole appena sono pronte, anziché seguire un qualsiasi tipo di programma formale. Che un aggiornamento di sicurezza venga consegnato con una pianificazione o espulso improvvisamente, sappiamo che sia i ricercatori che i criminali si affrettano a lavorare sulle patch, usando le differenze tra i vecchi e nuovi file di programma per capire i dettagli degli errori che sono stati corretti.

Le correzioni

Ci sono molte criticità rattoppate, in questa serie di aggiornamenti - quindi vi consigliamo vivamente di aggiornare subito, prima che qualcuno capisca come abusare di questi buchi appena documentati per divertimento o profitto.

In particolare, sia iOS 13 che le tre versioni più recenti di macOS ottengono correzioni per diversi problemi di sicurezza a livello di kernel (le versioni macOS rilevanti sono 10.13, 10.14 e 10.15, meglio conosciute come High Sierra, Mojave e Catalina).

Sono elencati cinque bug del kernel per iOS (e iPadOS) e macOS, indicati come segue:

  • Un'applicazione potrebbe essere in grado di leggere la memoria limitata. Questo tipo di bug significa che un'app normale, che normalmente non sarebbe nemmeno in grado di leggere i dati da altre app, potrebbe essere in grado di recuperare segreti a livello di sistema, come dati decodificati temporaneamente, identificatori univoci per l'attuale utente o dispositivo, o informazioni private su cosa sta facendo l'altro software.
  • Un'applicazione dannosa potrebbe essere in grado di eseguire codice arbitrario con privilegi di sistema. L'RCE, abbreviazione di esecuzione di codice in modalità remota, è una sorta di Santo Graal per gli hacker, poiché consente loro di ingannare il dispositivo per impiantare un programma malware di loro scelta. Potreste non vedere alcun tipo di segnale di avvertimento - RCE di solito significa che i truffatori possono bypassare sia l'App Store che le protezioni di sicurezza del sistema operativo.
  • Un'applicazione dannosa potrebbe essere in grado di determinare il layout della memoria del kernel. Molti bug RCE richiedono a un utente malintenzionato non solo di iniettare codice in memoria, ma anche di prevedere esattamente dove andrà a finire. Sia iOS che macOS utilizzano quindi ASLR, abbreviazione di randomizzazione del layout dello spazio degli indirizzi, per rendere difficile indovinare gli indirizzi di memoria. Quindi un bug di divulgazione del layout di memoria combinato con un RCE può trasformare un attacco "a fortuna" in un exploit "che funziona ogni volta".

 

iOS 12 ottiene patch silenziose

È interessante notare che anche iOS 12, che è ancora supportato per iPhone meno recenti come 6 e 6+ che non possono eseguire iOS 13, ottiene un suo aggiornamento.

Ma la nuova versione, iOS 12.4.5, non è stata annunciata tramite il servizio di posta elettronica Security Advisory di Apple. Per scoprirlo, bisogna controllare direttamente la pagina web generale degli aggiornamenti di sicurezza di Apple, dove l'aggiornamento è ufficialmente elencato:

iOS 12.4.5: questo aggiornamento non ha voci CVE pubblicate.

(iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch di sesta generazione, 28 gennaio 2020.)

CVE, abbreviazione di Common Vulnerabilities and Exposures, è un sistema, sponsorizzato dal governo degli Stati Uniti, che assegna identificatori numerici univoci a bug che sono considerati "vulnerabilità della sicurezza informatica pubblicamente note".

Se questo significa che il nuovo iOS 12 contiene solo correzioni non importanti o minori o che corregge gravi buchi a cui semplicemente non sono ancora stati assegnati numeri CVE, non possiamo dirlo - quindi vi consigliamo di scaricare comunque l'aggiornamento.

Il download è rapido e non richiede molto tempo per l'installazione.

Modifica del rilevamento della posizione per iPhone 11

Un cambiamento degno di nota che è arrivato in iOS 13.3.1, ma che Apple non ha considerato come una correzione di sicurezza, è elencato nella pagina generale di Apple "Informazioni sugli aggiornamenti di iOS 13".

A dicembre 2019, il noto giornalista di cybersecurity Brian Krebs chiese pubblicamente perché il suo iPhone 11 a volte visualizzava l'icona di "accesso ai dati di posizione" anche se aveva il rilevamento della posizione disattivato in ogni app e in tutto il suo sistema Servizi.

Apple chiarì in seguito che l'unico modo per disattivare completamente il rilevamento della posizione era disattivarlo con l'interruttore principale "Servizi di localizzazione".

In altre parole, i singoli "servizi di sistema" si attivavano per le parti del sistema operativo in grado di riconoscere la posizione, e non necessariamente coprivano tutte le funzionalità del kernel. Ciò includeva una nuova funzionalità di trasferimento dati ad alta velocità aggiunta nell'iPhone 11 nota come UWB, abbreviazione di Ultra Wideband.

Come fu spiegato al momento:

"Alcuni paesi hanno regolamentato [l'uso di UWB], apparentemente per paura che possa interferire con le comunicazioni radio esistenti, e quindi Apple ha aggiunto un software di sistema [nell'iPhone 11] che utilizza i dati sulla posizione, purché l'interruttore di posizione principale venga ruotato on, per disabilitare automaticamente UWB come richiesto."

Apple ha ora fornito un nuovo interruttore di servizio di sistema che "aggiunge un'impostazione per controllare l'uso dei servizi di localizzazione da parte del chip U1 Ultra Wideband".

È possibile trovare il nuovo interruttore in Impostazioni > Privacy > Servizi di localizzazione > Servizi di sistema.

Considerate che per accedere all'elenco dei servizi di sistema, dovrete prima attivare i servizi di localizzazione, altrimenti tutti gli interruttori per app e per servizio vengono rimossi dallo schermo.

(Vorremmo che non fosse così e che si potesse controllare le impostazioni della posizione per ciascuna app, prima di attivare i servizi di localizzazione in primo luogo, ma Apple non la vede in questo modo.)

Cosa fare?

Per verificare di avere tutto aggiornato:

  • Su un iPhone o iPad, andate su Impostazioni > Generali > Aggiornamento software.
  • Su un Mac, andate al menu Apple, scegliete Informazioni su questo Mac e cliccate su Aggiornamento software

 

Se il vostro dispositivo si è già aggiornato automaticamente, la schermata di aggiornamento ve lo dirà; in caso contrario vi informerà dell'aggiornamento e si offrirà di installarlo per voi.

30 gennaio 2020

Fonte: nakedsecurity.sophos.com

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #ios #sicurezza

© Fastweb SpA 2020 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.