Attenzione, aggiorna ora: Apple e Google chiudono importanti falle di sicurezza
Apple chiude importanti falle di sicurezza in iOS, macOS e watchOS. Questo potrebbe mettere i bastoni tra le ruote in particolare al software-spia Pegasus. Anche Google ha risolto le vulnerabilità di sicurezza per Chrome.
Con un aggiornamento per iOS, macOS e watchOS, Apple chiude varie vulnerabilità di sicurezza che sono state scoperte dai ricercatori di sicurezza. Si dice che una di queste venga già attivamente sfruttata dallo spyware Pegasus. Pegasus proviene dal produttore israeliano NSO ed è venduto a enti statali. Il software è effettivamente utilizzato per combattere il terrorismo, ma si dice che diversi paesi lo usino anche contro gli oppositori politici e i giornalisti.
Anche Google ha chiuso importanti falle di sicurezza nel browser Chrome su macOS, Windows e Linux. Ce ne sono undici in totale, dieci delle quali altamente a rischio. Gli aggiornamenti sono stati rilasciati per macOS, Windows e Linux.
Apple vs. Pegasus
Apple risolve alcune vulnerabilità di sicurezza in iOS, macOS e watchOS. Sono disponibili gli aggiornamenti a iOS 14.8 (iPadOS 14.8), macOS Big Sur 11.6 e watchOS 7.6.2. Se possibile, dovrebbero essere installati direttamente dopo aver letto questo articolo.
Una delle falle di sicurezza è molto probabile che venga sfruttata dallo spyware Pegasus del produttore israeliano NSO. Almeno questo è quello che i ricercatori di sicurezza di Citizen Lab ipotizzano. Il software garantisce l'accesso completo a dati memorizzati, fotocamera, microfono e password.
La suddetta vulnerabilità funziona per mezzo dell'installazione zero-day-zero-click. Questo significa che il software-spia si installa senza l'intervento della «vittima». Rianalizzando il backup dell'iPhone di un attivista, Citizen Lab ha scoperto allegati iMessage dannosi, apparentemente sotto forma di file GIF. Tuttavia, si tratta di file PDF e PSD travestiti da GIF con codice maligno, il quale sfrutta una vulnerabilità nel sistema CoreGraphics di Apple conosciuta come «ForcedEntry».
Citizen Lab, sospettando che il codice maligno trovato potesse essere attribuito a Pegasus, lo ha inviato ad Apple il 7 settembre. Il 13 settembre, Apple ha rilasciato gli aggiornamenti e ha ringraziato Citizen Lab per «l'acquisizione molto difficile di un campione per questo exploit».
L'aggiornamento corregge un altro problema di sicurezza con WebKit per iOS e macOS Big Sur che potrebbe essere collegato agli exploit di NSO. Se ti interessa, qui puoi trovare le note di rilascio per iOS, macOS Big Sur e watchOS.
Google Chrome: undici falle di sicurezza risolte
Anche Google ha chiuso una serie di lacune di sicurezza nel browser Chrome. Dieci su un totale di undici sono gravi. I dettagli saranno noti solo quando un numero sufficiente di dispositivi avrà installato l'aggiornamento a Chrome 93.0.4577.82 per macOS, Windows e Linux. Google vuole sapere se gli exploit per le vulnerabilità CVE-2021-30632 e CVE-2021-30633, menzionate nelle note di rilascio, esistono e vengono attivamente utilizzati.
Ti consiglio di aggiornare subito i tuoi dispositivi.
La mia musa ispiratrice si trova ovunque. Quando non la trovo, mi lascio ispirare dai miei sogni. La vita può essere vissuta anche sognando a occhi aperti.