Ieri pomeriggio, ora spagnola, l'azienda di Cupertino ha rilasciato iOS 12.1.4, il tanto atteso aggiornamento che ha risolto il problema Problema di sicurezza FaceTime rilevato su iOS e che ha consentito al mittente di una chiamata, rispondere automaticamente quando si aggiunge una terza persona, e che I server di Apple consentono ancora una volta le chiamate di gruppo.
Di per sé, solo tra dispositivi gestiti da iOS 12.1.4. Se il tuo dispositivo non è gestito da quella versione, le chiamate di gruppo tramite FaceTime non sono disponibili a meno che non esegui l'upgrade. Ma sembra che questo ultimo aggiornamento, non solo risolva il problema delle chiamate, ma anche, secondo un ingegnere della sicurezza di Google, risolve due vulnerabilità di 0 giorni.
Le vulnerabilità 0-day (zero day) sono quelle presenti nelle applicazioni o nei sistemi operativi poiché sono disponibili al pubblico senza che lo sviluppatore ne sia a conoscenza, quindi sono sempre stati disponibili per l'exploit, quindi sono chiamati 0-day (zero day).
Se avessi dei dubbi sull'opportunità o meno di aggiornare a iOS 12.1.4, la presenza di queste due vulnerabilità è un'ulteriore prova che è sempre consigliabile aggiornare il nostro sistema operativo all'ultima versione disponibile, sia del sistema operativo che utilizziamo sia delle applicazioni.
Ben Hawker, l'ingegnere della sicurezza di Google che ha segnalato queste due vulnerabilità, identificate come CVE-2019-7286 e CVE-2019-7287, afferma che la prima consente a una terza parte di utilizzare la corruzione della memoria per ottenere privilegi elevati.
Il secondo, consente un attaccante eseguire codice arbitrario con privilegi del kernel, a causa del problema di danneggiamento della memoria di cui sopra. Ovviamente non sono stati forniti ulteriori dettagli vista l'importanza di questo tipo di vulnerabilità e che molti dispositivi non sono stati ancora aggiornati.
Questi problemi di sicurezza sono stati rilevati da Google tramite la piattaforma Project Zero, piattaforma che si occupa di rilevare i difetti di sicurezza sia nelle applicazioni che nei sistemi operativi e informare preventivamente le persone interessate, dando loro un periodo di 90 giorni per risolvere il problema prima di renderlo pubblico.
