È appena uscito il secondo Apple Rapid Security Response e vi sono Aggiornamenti urgenti da eseguire.

È qui che le versioni più recenti di macOS, iOS e iPadOS ottengono patch di emergenza https://support.apple.com/en-gb/HT201222

• Apple non impiega tanto tempo per creare, testare e pubblicare quanto farebbe un aggiornamento della versione completa.
• Non impiegare tanto tempo per il download quando decidi di recuperarli.
• Non impiegare tanto tempo per l’installazione e l’attivazione quando li applichi effettivamente.
• Non apportare modifiche irreversibili che non possono essere annullate se qualcosa va storto.

Ricordiamo anche COME AGGIORNARE macOS, iOS e iPadOS:

• Per aggiornare iOS su iPhone andare qui https://support.apple.com/
• Per aggiornare macOS andare qui https://support.apple.com/it-it/HT201541
• Per aggiornare iPadOS andare qui https://support.apple.com/

La velocità è essenziale

L’ultimo punto sopra è sorprendentemente importante, dato che Apple non ti consentirà assolutamente di disinstallare gli aggiornamenti di sistema completi sui tuoi iPhone o iPad, anche se scopri che causano problemi reali e vorresti non averli applicati nel primo posto.

Questo perché Apple non vuole che gli utenti possano fare il downgrade apposta per reintrodurre vecchi bug che ora sanno possono Essere usati per il jailbreak dei dispositivi o l’installazione di un sistema operativo alternativo, anche su dispositivi che la stessa Apple non supporta più.

Anche se cancelli e reinstalli completamente il tuo iDevice da zero tramite un cavo USB, utilizzando l’utility DFU ( aggiornamento diretto del firmware ) integrata , i server Apple sanno quale versione stavi utilizzando prima della reinstallazione e non ti permetteranno di attivare un vecchio immagine del firmware su un dispositivo che è già stato aggiornato oltre quel punto.

In altre parole, il costo della decisione commerciale di Apple di mantenerti su un percorso a senso unico di aggiornamenti di iPhone e iPad è che l’azienda non può facilmente permettersi di affrettare gli aggiornamenti di emergenza con la stessa rapidità con cui potrebbe altrimenti (o altrettanto rapidamente come si potrebbe desiderare).

Questo perché l’unico modo per correggere eventuali problemi critici che un aggiornamento potrebbe causare è produrre un altro aggiornamento completo per sostituirlo, perché non esiste un processo di correzione rapida per un aggiornamento completo esistente che è stato rilasciato troppo rapidamente.

Il sistema Rapid Security Response ha lo scopo di eludere questo problema, almeno per un sottoinsieme di software sul tuo dispositivo, in particolare per Safari e altri componenti di navigazione web, che sono comunemente sfruttati dai criminali per lanciare attacchi come l’impianto silenzioso di spyware o l’iniezione di sorveglianza- malware correlato.

Come accennato in precedenza, le patch Rapid Security Response sono pensate per essere veloci da installare e facili da rimuovere in seguito in caso di problemi.

Nelle stesse parole di Apple, le risposte rapide di sicurezza sono progettate in modo tale che:

[t] Forniscono importanti miglioramenti della sicurezza tra gli aggiornamenti del software, ad esempio miglioramenti al browser Web Safari, allo stack del framework WebKit o ad altre librerie di sistema critiche. Possono anche essere utilizzati per mitigare alcuni problemi di sicurezza più rapidamente, ad esempio problemi che potrebbero essere stati sfruttati o segnalati come esistenti.

L’importanza delle patch del browser

La navigazione da sola è pensata per essere relativamente a basso rischio, dato che il browser stesso dovrebbe essere programmato per proteggerti da danni immediati.

In effetti, il contenuto basato su browser non dovrebbe essere in grado di causare alcun problema di sicurezza informatica basato su software se tutto ciò che fai è guardare un sito web.

Certo, potresti essere ingannato da contenuti falsi, ma ciò non influirà direttamente sulla sicurezza del codice in esecuzione sul dispositivo stesso.

Oppure potresti essere indotto ad approvare un’azione rischiosa come l’installazione di un’app canaglia o la compilazione di un modulo di accesso falso, ma in genere hai almeno una possibilità di combattere per rilevare che sei stato truffato.

In poche parole, fintanto che sei “Solo in visita”, come dice il tabellone del Monopolio quando atterri sulla casella Prigione naturalmente, invece di essere inviato lì da qualche altra parte, dovresti essere a rischio minimo o nullo dall’attività di navigazione .

Certo, la capacità del tuo browser di proteggerti da attacchi completamente automatizzati e di garantire che il contenuto di una pagina web da solo non sia mai sufficiente per infettarti con malware o rubare dati dal tuo dispositivo…

… dipende dal fatto che il browser non abbia bug di sicurezza attraverso i quali il contenuto di trappole esplosive potrebbe aggirare gli scudi di sicurezza del browser e sottoporti a ciò che è scherzosamente noto come installazione drive-by o attacco look-and- get – pwned .

Cosa fare?

Queste ultime patch dovrebbero essere considerate critiche.

Supponiamo che siano associati a un attacco spyware o malware in tempo reale che si sta verificando in questo momento, dato il bug che è stato corretto:

Impatto: l'elaborazione dei contenuti web può causare
        all'esecuzione di codice arbitrario.
        Apple è a conoscenza di un rapporto che
        questo problema potrebbe essere stato
        attivamente sfruttato.

Descrizione: il problema è stato risolto
             con controlli migliorati.

CVE-2023-37450: un ricercatore anonimo

In un linguaggio privo di gergo, “sfruttato attivamente” significa “questo è un giorno zero”, o più senza mezzi termini, “i truffatori hanno trovato prima questo”, che a sua volta significa: non ritardare, fallo semplicemente oggi .

Sono disponibili risposte rapide di sicurezza per le ultime versioni di macOS Ventura 13.4.1 , iOS 16.5.1 e iPadOS 16.5.1 .

Tali versioni si segnaleranno rispettivamente come 13.4.1 (a) e 16.5.1 (a) una volta installata la patch rapida. (Quella (a) finale svanirà se in seguito disinstallerai la patch).

Per le versioni precedenti supportate macOS Big Sur e macOS Monterey , c’è un aggiornamento di sistema vecchio stile che corregge solo Safari, che verrà visualizzato come Safari 16.5.2 dopo l’aggiornamento.

Finora, tuttavia [2023-07-10T23:00:00Z], non ci sono aggiornamenti per altre piattaforme Apple, anche se è possibile che anche iOS 15, ancora ufficialmente supportato su iPhone e iPad meno recenti, sia interessato, insieme a Apple Watch e TV.

Tieni d’occhio il portale di sicurezza generale di Apple e la nuova pagina Rapid Security Response per ulteriori informazioni sugli aggiornamenti per altri sistemi Apple.

Vai su Impostazioni > Generali > Aggiornamento software per verificare se hai già ricevuto e installato correttamente questa patch di emergenza e per saltare in cima alla coda se non l’hai fatto.

Ricorda che su iPhone e iPad, tutti i browser e le app in grado di visualizzare contenuti basati sul Web (sia che provengano da Apple, Mozilla, Microsoft, Google o qualsiasi altro fornitore), sono costretti a utilizzare WebKit sotto le coperte.

Quindi, installare un browser alternativo ed evitare Safari per un po’ quando vedi notizie come questa non è sufficiente!

( Nota. Sui Mac meno recenti, controlla l’aggiornamento di Safari 16.5.2 utilizzando Informazioni su questo Mac > Aggiornamento software… .)

Fonte : https://nakedsecurity.sophos.com

L'articolo Apple corregge bug pericolosi : aggiornamenti urgenti proviene da .