Crash di Safari ed esecuzione di codice da remoto sui dispositivi iOS e macOS: Apple non ha ancora risolto

Si chiama WebKit il motore di rendering utilizzato in Apple Safari così come in qualunque altro browser sviluppato per i sistemi iOS e macOS.
Nonostante uno sviluppatore abbia rilevato un grave problema di sicurezza in WebKit e condiviso su GitHub il codice per risolvere la falla, la Mela non ha ancora fatto proprio l’intervento.

Gli sviluppatori che qualche settimana fa si sono accorti della problematica e l’hanno risolta esternamente alla struttura di Apple avevano fatto riferimento alla possibilità di mandare in crash Safari.

In realtà il problema di sicurezza è più grave perché un aggressore può non limitarsi a causare l’arresto anomalo di Safari ma può arrivare ad eseguire codice malevolo sui dispositivi iOS e macOS.
Per far funzionare l’exploit, comunque, è necessario superare il sistema di mitigazione degli attacchi chiamato Pointer Authentication Codes (PAC) che richiede l’utilizzo di una firma digitale valida perché il codice in memoria possa essere eseguito. Senza la firma digitale o un meccanismo utile a bypassare PAC il codice malevolo non potrebbe essere eseguito.

La falla è presente in AudioWorklet, un’interfaccia fornita da Apple che permette agli sviluppatori di controllare, modificare ed effettuare il rendering di flussi audio riducendo al minimo la latenza.

La minaccia posta da questa nuova vulnerabilità non sembra ancora immediatamente sfruttabile. Il problema di sicurezza pone comunque nelle mani dei malware writer una nuova arma per aggredire i dispositivi Apple che negli ultimi mesi sembrano diventati un bersaglio di sempre maggiore interesse.

Stando a questo foglio elettronico stilato dai ricercatori di Google Project Zero, dall’inizio dell’anno 7 vulnerabilità sono state attivamente sfruttate contro gli utenti Apple. La cifra sale a 8 se si include l’attacco zero day risolto lunedì scorso e del quale abbiamo fatto menzione poco sopra. Sei delle otto vulnerabilità risiedevano nel motore WebKit.

Con il termine patch gapping viene descritto il tempo che intercorre tra il momento in cui un problema di sicurezza viene risolto e l’istante in cui la patch diviene effettivamente disponibile per tutti gli utenti. Nel caso di specie sono già passati diversi giorni da quando una correzione è stata pubblicata su GitHub mentre Apple non l’ha ancora distribuita ai suoi utenti.