Apple rilascia macOS Monterey 12.6, iOS 15.7 e iPadOS 15.7 con aggiornamenti di sicurezza
Apple ha rilasciato macOS Monterey 12.6, iOS 15.7 e iPadOS 15.7. Gli aggiornamenti apportano una serie di correzioni di sicurezza critiche per Mac, iPhone e iPad.
Correzioni di sicurezza in macOS Monterey 12.6
L’aggiornamento risolve un problema ATS che potrebbe aggirare le preferenze sulla privacy. Il problema logico di cui al CVE-2022-32902 è stato risolto migliorando la gestione dello stato. Una vulnerabilità nell’app iMovie avrebbe consentito agli aggressori di visualizzare le informazioni riservate degli utenti. Apple afferma di aver abilitato il runtime rinforzato per correggere l’exploit in CVE-2022-32896.
L’aggiornamento macOS Monterey 12.6 risolve tre bug a livello di kernel. Uno di questi, descritto in CVE-2022-32911, permetteva l’esecuzione di codice arbitrario con privilegi del kernel. Un altro bug, a cui si fa riferimento in CVE-2022-32864, è stato in grado di rivelare la memoria del kernel. Apple ha mitigato entrambi i problemi migliorando la gestione della memoria.
La terza vulnerabilità del kernel, citata in CVE-2022-32917, era simile alla prima, cioè permetteva agli hacker di eseguire codice arbitrario con i privilegi del kernel. Apple afferma che questo problema di sicurezza potrebbe essere stato attivamente sfruttato dagli attori delle minacce. Questo vettore di attacco è stato risolto con controlli dei limiti migliorati.
Un problema di sicurezza nell’app Mappe avrebbe potuto consentire ad altre app di leggere informazioni sensibili sulla posizione, il bug denominato CVE-2022-32883 è stato mitigato con restrizioni migliorate.
Gli hacker potrebbero essere stati in grado di elevare i privilegi a causa di un problema di danneggiamento della memoria in MediaLibrary. Questo exploit, archiviato in CVE-2022-32908, è stato corretto migliorando la convalida dell’input. Un problema logico simile è stato scoperto in PackageKit (CVE-2022-32900) ed è stato risolto migliorando la gestione dello stato.
Correzioni di sicurezza in iOS 15.7 e iPadOS 15.7
Tutti e tre i problemi del kernel, le vulnerabilità scoperte nell’app Mappe e la MediaLibrary che ho menzionato nella sezione macOS Monterey riguardano anche iPhone, iPad e iPod. Le patch per questi bug sono incluse negli aggiornamenti di iOS 15.7 e iPadOS 15.7.
Le app potrebbero aver aggirato le restrizioni sulla privacy nell’app Contatti. I siti Web dannosi visitati tramite Safari possono causare lo spoofing della barra degli indirizzi. I bug risolti in CVE-2022-32854 e CVE-2022-32795 sono stati corretti migliorando i controlli. L’app Shortcuts potrebbe consentire agli utenti di accedere alle foto dalla schermata di blocco, se l’attaccante avesse accesso fisico a un dispositivo iOS. Il problema logico riportato in CVE-2022-32872 è stato risolto migliorando le restrizioni. Le estensioni di Safari potrebbero essere in grado di tracciare gli utenti a causa di un problema di logica (WebKit Bugzilla: 242278, CVE-2022-32868). Apple ha migliorato la gestione dello stato per far fronte alla vulnerabilità.
Una minaccia correlata a Webkit (WebKit Bugzilla: 241969, CVE-2022-32886) potrebbe aver consentito ai browser Web e ad altre app Web di eseguire codice dannoso. Ciò era il risultato di un problema di overflow del buffer che è stato risolto migliorando la gestione della memoria. Un problema simile in WebKit (WebKit Bugzilla: 242762, CVE-2022-32912) è stato attribuito a causa di una lettura fuori limite, la minaccia è stata corretta migliorando i controlli dei limiti.
Gli aggiornamenti di iOS 15.7 e iPadOS 15.7 sono disponibili per iPhone 6s e successivi, iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad 5a generazione e successivi, iPad mini 4 e successivi e iPod touch (7a generazione). Nel caso te lo fossi perso, Apple ha rilasciato iOS 16 per iPhone idonei, puoi leggere la nostra copertura precedente per saperne di più sulle nuove funzionalità del software più recente.
Grazie per essere un lettore di Ghacks. Il post che Apple rilascia macOS Monterey 12.6, iOS 15.7 e iPadOS 15.7 con aggiornamenti di sicurezza è apparso per la prima volta su gHacks Technology News .