Gli utenti che riceveranno un
iPad o un iPod touch per Natale otterranno anche un dispositivo meno vulnerabile ad
attacchi hacker.
Oltre ad aggiungere caratteristiche come
AirPrint e AirPlay su iPad, iPhone e iPod Touch, il massiccio
update di Apple per iOS, pubblicato lunedi e che porta l'OS alla versione
4.2, ha risolto un gran numero di vulnerabilità di sulla piattaforma mobile dell'azienda.
Complessivamente l'aggiornamento
ripara circa 40 bug, tra cui gravi falle in WebKit, CoreGraphics, ImageIO, FreeType, Foto, Safari e altri.
La maggior parte dell'aggiornamento è dedicato alla piattaforma
WebKit di Apple con almeno
27 patch, la maggior parte delle quali ha causato attacchi con esecuzione di codice da remoto.
L'aggiornamento ha interessato
gravi falle relative a come WebKit gestiva molti tipi di file, compresi i documenti in formato SVG, inline styling, CSS box, Web socie, oggetti di testo, comandi di modifica, JavaScript e caratteristiche di geolocalizzazione.
Quasi tutti i difetti di WebKit son risultati nell'esecuzione di
codice da remoto. I cybercriminali potevano lanciare un attacco creando siti web appositamente predisposti e quindi inducendo gli utenti a visitare il sito, in genere attraverso metodi di
social engineering.
Gli utenti sarebbero stati indotti a scaricare codice malevolo sui loro computer cliccando su link maligni, attività che ha consentito agli hacker di bloccare o prendere il controllo delle macchine degli utenti.
Un'altra correzione WebKit di Safari ha sistemato un bug che ha permesso a siti web di
monitorare il comportamento online degli utenti senza l'utilizzo di cookie, di indirizzi IP o altre tecniche.
Inoltre, l'aggiornamento ha incluso
due correzioni di errori di rete derivanti da un'errata gestione dei pacchetti PIM (Protocol Independent Multicast) e dalle regole di packet filtering. Gli hacker che hanno sfruttato la vulnerabilità hanno potuto causare un attacco
Denial of Service ai computer bersaglio, o utilizzare il codice dannoso per ottenere l'accesso non autorizzato al sistema dell'utente.
Nel frattempo, Safari ha ricevuto anche una patch per un bug che impediva alle password di venire rimosse dalla memoria quando gli utenti premevano il tasto "Reset Safari ", dando agli hacker che in seguito accedevano al dispositivo la capacità di acquisire le credenziali archiviate. Il bug avrebbe potuto probabilmente avere un impatto significativo per gli utenti con
macchine in condivisione, ad esempio negli internet cafà©, nelle biblioteche o nelle università .
Il massiccio aggiornamento ha impedito agli utenti di diventare vittime di attacchi con esecuzione di codice arbitrario da remoto, anche attraverso la ricezione di
documenti allegati.
Apple ha riparato anche un
bug di FreeType che ha permesso agli hacker di infettare gli utenti mettendo dei font creati ad hoc in un documento
PDF, e ha anche riparato una criticità che ha permesso agli hacker di assumere il controllo completo di computer tramite un file infetto di
Excel.
Pochi giorni dopo iOS 4,2, poi, hanno cominciato a circolare voci sul fatto che
il rilascio di iOS versione 4.3 sarebbe dietro l'angolo, ossia a metà dicembre.
Sulla questione, Apple ha risposto con un secco "No comment".