Apple, Microsoft e Google hanno appena risolto diverse falle zero-day

Se utilizzi uno dei prodotti o servizi di questi giganti della tecnologia (Apple, Microsoft e Google), dovresti aggiornare i tuoi dispositivi e le tue applicazioni il prima possibile. Questo perché di recente sono state applicate delle patch a diverse vulnerabilità critiche che potrebbero permettere agli aggressori di compromettere la tua sicurezza e la tua privacy.

Cosa sono i difetti zero-day?

Le falle zero-day sono bug del software di cui gli sviluppatori o i venditori non sono a conoscenza, ma che gli hacker sfruttano prima che possano essere corretti. Si chiamano zero-day perché non c’è tempo per preparare una difesa o una correzione. Queste falle possono essere utilizzate per rubare dati, installare malware, spiare gli utenti o prendere il controllo dei dispositivi.

Come hanno fatto a trovarli e a risolverli?

Apple, Microsoft e Google hanno team dedicati di ricercatori di sicurezza che sono costantemente alla ricerca di vulnerabilità nei loro prodotti e in altri. Collaborano anche con ricercatori esterni che segnalano i bug attraverso programmi di bug bounty. Questi programmi ricompensano gli hacker etici che individuano e divulgano in modo responsabile i problemi di sicurezza.

Apple ha corretto 15 falle zero-day che interessano iOS, macOS, watchOS e tvOS. Alcune di queste falle sono state segnalate dal team Project Zero di Google, specializzato nella ricerca di vulnerabilità zero-day. Microsoft ha corretto 40 falle zero-day che interessano Windows, Office, Edge e altri prodotti. Alcune di queste falle sono state segnalate da Kaspersky Lab, una società di sicurezza informatica. Google ha corretto 11 falle zero-day che interessano Chrome, Android e altri prodotti. Alcune di queste falle sono state segnalate dal Threat Intelligence Center di Microsoft, che tiene traccia delle minacce informatiche.

Cosa puoi fare per proteggerti?

Il modo migliore per proteggersi dagli attacchi zero-day è aggiornare regolarmente i dispositivi e le applicazioni. Dovresti anche utilizzare un software antivirus, un firewall e una VPN per migliorare la tua sicurezza. Dovresti anche evitare di cliccare su link o allegati sospetti e utilizzare password forti e l’autenticazione a due fattori per i tuoi account online.

Le falle zero-day sono una seria minaccia per la tua sicurezza e la tua privacy. Ma seguendo questi semplici passi, puoi ridurre il rischio di caderne vittima.

L’autunno è arrivato, ma il panorama delle minacce informatiche rimane più caldo che mai, con diversi fornitori di alto profilo che stanno patchando le vulnerabilità che vengono sfruttate in natura.

Tra gli aggiornamenti più critici ci sono quelli di Cisco, che hanno risolto un problema con la massima gravità possibile, pari a 10 sulla scala CVSS.

Negli ultimi mesi anche lo spyware ha rappresentato una delle principali preoccupazioni, in quanto gli aggressori possono compromettere i dispositivi senza l’interazione dell’utente. Questo sottolinea la necessità di mantenere sempre aggiornato il sistema operativo.

Di seguito è riportato un riepilogo degli aggiornamenti di sicurezza più importanti rilasciati a settembre.

Sistema operativo Apple iOS e iPad

Apple ha saltato gli aggiornamenti di sicurezza ad agosto, ma ha recuperato a settembre. Il primo aggiornamento è stato iOS 16.6.1, una correzione di sicurezza urgente rilasciata il 9 settembre per risolvere due vulnerabilità che venivano sfruttate nei cosiddetti attacchi «zero-click».

Le falle sono state scoperte dai ricercatori del Citizen Lab dell’Università di Toronto, che hanno scoperto che lo spyware poteva essere trasmesso tramite allegati di immagini dannose in un iMessage, in un attacco che hanno chiamato BLASTPASS.

A metà settembre, Apple ha rilasciato il suo principale aggiornamento software, iOS 17, seguito da iOS 17.0.1 pochi giorni dopo. L’inaspettato aggiornamento iOS 17.0.1 è stato fondamentale perché ha risolto altre tre vulnerabilità dell’iPhone utilizzate nelle campagne di spyware.

I problemi, identificati come CVE-2023-41992 e segnalati dagli esperti di sicurezza di Citizen Lab e Google, includono un bug del kernel che potrebbe consentire a un aggressore di ottenere privilegi elevati e due falle nella sicurezza e in WebKit che potrebbero concatenarsi per prendere il controllo del dispositivo di un utente.

Le vulnerabilità risolte in iOS 17.0.1 sono state risolte anche in iOS 16.7 per gli utenti di iPhone più vecchi o per coloro che preferiscono non aggiornare al software più recente.

Alla fine di settembre, Apple ha rilasciato iOS 17.0.2 per risolvere alcuni bug iniziali di iOS 17 e questa è la versione più recente del software, al momento della pubblicazione.