Apple ha rilasciato un aggiornamento urgente per iOS e iPadOS che risolve la vulnerabilità CVE-2022-22620. Si consiglia di aggiornare i dispositivi il più presto possibile, in quanto l’azienda ha ragione di credere che la vulnerabilità sia già attivamente sfruttata da attori sconosciuti.
Perchè è pericolosa la vulnerabilità CVE-2022-22620
Come al solito, gli esperti di Apple non rivelano i dettagli della vulnerabilità fino a quando l’indagine è completata, e la maggior parte degli utenti ha installato le patch. Al momento, dicono solo che la vulnerabilità appartiene alla classe Use-After-Free (UAF), quindi è legata all’uso scorretto della memoria dinamica nelle applicazioni. Il suo sfruttamento permette al criminale informatico di creare contenuti web dannosi, la cui elaborazione può portare all’esecuzione di codice arbitrario sul dispositivo della vittima.
In poche parole, lo scenario di attacco più probabile è un’infezione di un dispositivo iPhone o iPad dopo aver visitato una pagina web dannosa.
Quali dispositivi e app sono vulnerabili allo sfruttamento di CVE-2022-22620
A giudicare dalla descrizione del bug, la vulnerabilità è stata trovata nel motore WebKit utilizzato in molte applicazioni per macOS, iOS e Linux. In particolare, tutti i browser per iOS e iPadOS sono basati su questo motore open source, cioè, non solo Safari di default dell’iPhone, ma anche Google Chrome, Mozilla Firefox e qualsiasi altro. Quindi, anche se non usate Safari, questa vulnerabilità vi riguarda direttamente.
Apple ha rilasciato gli aggiornamenti per gli iPhone 6s e più recenti; tutti i modelli di iPad Pro, iPad Air versione 2 e più recente, iPad a partire dalla quinta generazione, iPad mini a partire dalla quarta generazione, e iPod touch media player a partire dalla settima generazione.
Come rimanere al sicuro
La patch che Apple ha rilasciato il 10 febbraio cambia i meccanismi di gestione della memoria e quindi impedisce lo sfruttamento del CVE-2022-22620. Quindi, per proteggere il vostro dispositivo, dovrebbe essere sufficiente installare gli aggiornamenti iOS 15.3.1 e iPadOS 15.3.1. Il vostro dispositivo deve essere collegato a una rete Wi-Fi per installare la patch.
Se il vostro dispositivo non mostra ancora una notifica che l’aggiornamento è pronto per l’installazione, potete forzare il vostro sistema ad aggiornare un po’ più velocemente: andate voi stessi nelle impostazioni di sistema (Impostazioni → Generali → Aggiornamento software) e controllate la disponibilità degli aggiornamenti software.
Per ricevere avvisi sulle ultime minacce informatiche direttamente collegate ai vostri dispositivi e alle vostre app, vi consigliamo di utilizzare Kaspersky Security Cloud, disponibile per i sistemi operativi Windows, macOS, Android e iOS. Quando viene scoperta una nuova vulnerabilità nel software che usate, o una fuga di dati sul sito web che visitate, riceverete una notifica con consigli su come proteggervi.