Apple ha rilasciato iOS 16.1. Nel nuovo sistema operativo mobile, il giorno zero è fisso. Il bug di scrittura fuori limite è stato “probabilmente” attivamente sfruttato, ma come al solito, Apple non fornisce ulteriori informazioni al riguardo.
Mela scrive su una pagina di aggiornamento che ha rilasciato iOS 16.1 e il suo compagno iPadOS 16.1 per iPhone 8 e versioni successive e per la maggior parte degli iPad moderni. Diverse nuove funzionalità nella nuova versione di iOS, comprese le attività dal vivo che sono ora disponibili per gli sviluppatori. Gli utenti possono anche creare librerie condivise in iCloud e Apple Fitness+ è ora supportato sul sistema operativo. Inoltre, i dispositivi iOS con il nuovo sistema operativo beneficeranno del supporto per lo standard di casa intelligente Matter.
Diverse vulnerabilità sono state corrette nel sistema operativo. Il più notevole di questi è CVE-2022-42827, per il quale non sono state ancora descritte informazioni dettagliate. Questa è una vulnerabilità di scrittura fuori limite nel kernel del sistema operativo. Le applicazioni potrebbero quindi eseguire codice a livello di kernel, scrive Apple, ma l’azienda non fornisce ulteriori dettagli.
Apple afferma che la vulnerabilità potrebbe essere stata sfruttata attivamente, sebbene sia velata. Apple inoltre non fornisce dettagli al riguardo, cosa che normalmente non fa mai con tali vulnerabilità. Il bug è stato fornito da un ricercatore di sicurezza che è rimasto anonimo.
Questa è ora la nona vulnerabilità zero-day che Apple ha affrontato nel 2022 in iOS. In precedenza, c’erano già delle vulnerabilità nel kernel e in WebKit. iOS 16.1 risolve anche altre quattro vulnerabilità che rendono i dispositivi iOS vulnerabili all’esecuzione di codice in modalità remota. Uno è nel kernel, un altro in CFNetwork che convalida i certificati e due vulnerabilità sono in WebKit.
| Componente vulnerabile | record CVE | Impatto |
| AppleMobileFileIntegrity | CVE-2022-42825 | Consente alle applicazioni di modificare parti protette del file system. |
| AVEVideoEncoder | CVE-2022-32940 | Esegui il codice con i privilegi del kernel. |
| Rete CF | CVE-2022-42813 | Problema di convalida del certificato che consente agli aggressori di eseguire codice tramite un certificato contraffatto. |
| Bluetooth di base | CVE-2022-32946 | Le app possono ascoltare l’audio tramite gli AirPod collegati |
| Driver della GPU | CVE-2022-32947 | Esecuzione di codice con privilegi del kernel basati sulla gestione della memoria |
| IOIDFamiglia | CVE-2022-42820 | Bug di danneggiamento della memoria che può chiudere app ed eseguire codice |
| IOK | CVE-2022-42806 | Race condition che consente l’esecuzione del codice |
| nucleo | CVE-2022-32924 | Le applicazioni potrebbero eseguire codice |
| nucleo | CVE-2022-42808 | Bug di scrittura fuori limite che consente di eseguire il codice del kernel |
| nucleo | CVE-2022-42827 | Zeroday, errore di scrittura fuori limite |
| PPP | CVE-2022-42829 | Utilizzare dopo gratis per le app con permessi di root |
| PPP | CVE-2022-42830 | Utilizzare dopo gratis per le app con permessi di root |
| PPP | CVE-2022-42831 CVE-2022-42832 |
Condizione di gara per le app con permessi di root |
| Sandbox | CVE-2022-42811 | Le applicazioni possono richiedere informazioni sull’utente |
| Scorciatoie | CVE-2022-32938 | Bug di analisi che consentiva alle scorciatoie di cercare determinati percorsi nel filesystem |
| Webkit | CVE-2022-42799 | I siti Web potrebbero essere coinvolti in furti di identità |
| Webkit | CVE-2022-42823 | Digita confusione che consentiva ai siti Web di eseguire codice |
| Webkit | CVE-2022-42824 | Problema logico che consentiva ai siti Web di leggere le informazioni sull’utente |
| PDF webkit | CVE-2022-32922 | Utilizzare dopo gratis che consentiva ai file PDF sui siti Web di eseguire codice |
Aggiornare: L’articolo inizialmente non menzionava le nuove funzionalità di iOS. Questi sono stati ora aggiunti.
“Ninja pancetta. Guru del caffè per tutta la vita. Drogato di cibo malvagio. Aspirante risolutore di problemi. Creatore tipico.”
You may also like
-
Intelligenza artificiale generativa e cybersecurity: quali rischi nel 2024
-
Elettrodomestici a portata di mano: controllare la tua casa con l’App del tuo smartphone
-
Battito cardiaco, come uno smartwatch può salvarti la vita
-
Honor 90: Il Nuovo Design Mozzafiato che Stupirà gli Appassionati di Smartphone
-
Sappiamo di più su come tenere il telefono acceso a letto con Pokémon Sleep