blank

Apple ha rilasciato solamente un paio di giorni fa un aggiornamento che chiude una pericolosissima falla di webkit, falla che a quanto pare veniva sfruttata attivamente.

E’ stato rilasciato non solo iOS 14.5.1 ma anche iOS 12.5.3 per dispositivi con 9 anni di vita alle spalle. Se possedete uno di questi dispositivi vi consigliamo di effettuare subito l’aggiornamento. Ecco i dettagli.

 

Apple rilascia un nuovo aggiornamento che è meglio fare

Apple ha rilasciato nella serata di ieri iOS 14.5.1 e iOS 12.5.3. Quest’ultimo è destinato a iPhone 5s o 6, iPad Air, iPad Mini 2 e 3, dispositivi con molti anni di vita alle spalle per i quali iOS 14.5 non è più disponibile. L’iPhone 5S è stato annunciato nel 2013, e la scelta di Apple di aggiornare un prodotto così vecchio è legata proprio alla gravità delle falle di webkit che questo aggiornamento chiude.

Webkit è il motore alla base di tutti i browser, anche quelli di terze parti (Apple obbliga ad usare webkit anche su Google Chrome per ioS), e il problema riguarda la possibilità di eseguire codice sul dispositivo semplicemente visitando una pagina web specifica. Nelle note di rilascio, Apple spiega che le falle chiuse sono la CVE-2021-30666, la CVE-2021-30665, la CVE-2021-30663 e la CVE-2021-30661, tutte legate dallo stesso filo comune, e che le sono state fornite prove che quelle falle erano attivamente sfruttate da qualcuno.

La scoperta delle falle è stata attribuita a tre ricercatori cinesi, la loro registrazione risale alla metà di aprile. Non è chiaro chi le possa aver sfruttate e in che modo: potrebbe trattarsi, come già capitato in passato, di malware governativi cinesi usati per controllare i gruppi uiguri, minoranze etniche perseguitate dal regime comunista che vivono nella regione dello Xinjiang.

Su iOS 14.5.1, oltre alla pericolosa vulnerabilità di webkit, Apple ha corretto anche un bug del nuovo sistema di gestione del tracciamento: ad alcune persone che avevano disabilitato il tracciamento prima dell’aggiornamento ad iOS 14.5, anche abilitandolo successivamente, il famoso popup di notifica non appariva più e il sistema non funzionava come previsto.