La vulnerabilità Coruna è stata finalmente affrontata da Apple con una serie di aggiornamenti di sicurezza destinati ai dispositivi che non possono essere aggiornati alle versioni più recenti di iOS e iPadOS. Dopo che Google e iVerify avevano reso pubblici i dettagli di questo exploit la settimana scorsa, Apple ha reagito piuttosto rapidamente pubblicando iOS 16.7.15, iOS 15.8.7, iPadOS 16.7.15 e iPadOS 15.8.7. E non si tratta di un aggiornamento qualunque, perché la portata della minaccia era davvero significativa.
Per capire la gravità della situazione, basta guardare i numeri. L’exploit Coruna sfrutta cinque catene di exploit complete e ben 23 vulnerabilità per colpire dispositivi con versioni di iOS dalla 13 alla 17.2.1. Parliamo quindi di un problema che potenzialmente riguardava milioni di iPhone e iPad ancora in circolazione, soprattutto quelli più vecchi che i rispettivi proprietari magari non aggiornano con regolarità.
Cosa correggono esattamente questi aggiornamenti di Apple
Quando Apple ha rilasciato gli update, inizialmente si era limitata a dire che contenevano “importanti fix di sicurezza“. Poco dopo, però, ha pubblicato il contenuto di sicurezza completo, confermando che le patch riguardano vulnerabilità legate al kernel e a WebKit, entrambe associate proprio alla vulnerabilità Coruna.
Per quanto riguarda iOS 15.8.7 e iPadOS 15.8.7, destinati a dispositivi come iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE di prima generazione, iPad Air 2, iPad mini di quarta generazione e iPod touch di settima generazione, le correzioni sono quattro. La prima è una falla del kernel (CVE-2023-41974) che permetteva a un’app di eseguire codice arbitrario con privilegi elevati, risolta con una migliore gestione della memoria. Questa fix era già stata inclusa in iOS 17 il 18 settembre 2023, ma ora viene portata anche sui dispositivi più vecchi.
Le altre tre correzioni riguardano WebKit e affrontano problemi legati all’elaborazione di contenuti web malevoli, che potevano portare all’esecuzione di codice arbitrario o alla corruzione della memoria. Si tratta delle CVE-2024-23222, CVE-2023-43000 e CVE-2023-43010, fix che erano già state distribuite rispettivamente con iOS 17.3, iOS 16.6 e iOS 17.2 nel corso del 2023 e inizio 2024.
Anche iOS 16.7.15 riceve una patch importante
Per iOS 16.7.15 e iPadOS 16.7.15, che coprono dispositivi come iPhone 8, iPhone 8 Plus, iPhone X e vari modelli di iPad Pro e iPad di quinta generazione, Apple ha corretto la vulnerabilità WebKit CVE-2023-43010. Anche in questo caso, la fix era già presente in iOS 17.2 dal dicembre 2023, ma serviva estenderla ai dispositivi fermi a versioni precedenti del sistema operativo.
Il punto fondamentale è che chi possiede un dispositivo Apple più datato, magari un iPhone 7 o un iPad Air 2, non dovrebbe sottovalutare questi aggiornamenti. La vulnerabilità Coruna rappresentava una minaccia concreta e articolata, e il fatto che Apple abbia deciso di intervenire anche su dispositivi ormai fuori dal ciclo di aggiornamenti principali dice molto sulla serietà del problema.
