Apple ha corretto i difetti critici di macOS solo in Monterey • The Register

La scorsa settimana Apple ha corretto due vulnerabilità sfruttate attivamente in macOS Monterey, ma ha lasciato gli utenti delle versioni precedenti supportate del suo sistema operativo desktop non protetti.

In un post sul blog di martedì, il business della sicurezza Intego ha affermato che le correzioni applicate all’indirizzo CVE-2022-22675 (bug AppleAVD) e CVE-2022-22674 (bug del driver grafico Intel) in macOS Monterey non sono state trasferite su macOS Big Sur o macOS Catalina.

Il problema AppleAVD non è stato risolto per macOS Big Sur, ha affermato Joshua Long, analista capo della sicurezza di Intego, mentre Catalina non è interessata perché manca del componente AppleAVD per la decodifica di audio e video. Il difetto del driver grafico Intel, ha detto, sembra influenzare sia Big Sur che Catalina.

Questa è la prima volta dal rilascio di macOS Monterey che Apple ha trascurato di correggere le vulnerabilità sfruttate attivamente per Big Sur e Catalina

“Questa è la prima volta dal rilascio di macOS Monterey che Apple ha trascurato di correggere le vulnerabilità sfruttate attivamente per Big Sur e Catalina”, ha affermato Long. “Le precedenti tre vulnerabilità sfruttate attivamente sono state ciascuna patchata simultaneamente per Monterey, Big Sur e Catalina”.

Apple non ha risposto a una richiesta per spiegare perché ha lasciato le vecchie installazioni di macOS senza aggiornamenti per questi problemi particolari.

macOS Monterey di Apple ha debuttato il 25 ottobre 2021 ed è la versione più recente di macOS. macOS Big Sur è stato rilasciato il 12 novembre 2020 ed è stato aggiornato l’ultima volta il 14 marzo 2022. Il suo predecessore, macOS Catalina, è stato rilasciato il 7 ottobre 2019 e ha visto anche il suo aggiornamento più recente il 14 marzo 2022.

A differenza di Microsoft, che pubblica la sua politica del ciclo di vita di Windows, Apple specifica le date di obsolescenza dell’hardware ma non offre alcun impegno scritto per la sua politica di supporto per macOS. Negli ultimi tempi, iBiz ha supportato la sua versione attiva di macOS per un anno, pubblicando anche aggiornamenti e patch di sicurezza per le sue due precedenti versioni di macOS.

Il supporto per macOS Catalina dovrebbe terminare intorno a novembre 2022 e la data di ritiro di macOS Big Sur sembra essere, più o meno, novembre 2023.

Secondo Long, il 35-40% dei Mac attualmente in uso è vulnerabile a uno o entrambi questi bug.

Apple emette patch per macOS, iOS e iPadOS per i bug di sicurezza “sfruttati”.

PER SAPERNE DI PIÙ

Long dice che il ricercatore di sicurezza Mickey Jin ha confermato che i Mac basati su M1 che eseguono macOS Big Sur sono vulnerabili al bug AppleAVD (CVE-2022-22675), così come i dispositivi con iOS 14 e iPadOS 14, che Apple ha smesso di supportare a gennaio.

CVE-2022-22675 è un bug di scrittura fuori limite e potrebbe consentire l’esecuzione di codice arbitrario con privilegi del kernel.

Per quanto riguarda il bug della grafica Intel (CVE-2022-22674), Long afferma che Intego sta lavorando per confermare che Big Sur e Catalina siano interessati, ma ha affermato che è stato difficile da stabilire a causa della vulnerabilità di lettura fuori limite, che potrebbe consentire la lettura del kernel memoria – è stato segnalato da un ricercatore anonimo.

Ma ha detto, “abbiamo grande fiducia che CVE-2022-22674 probabilmente influisca sia su macOS Big Sur che su macOS Catalina”, perché quasi ogni vulnerabilità nel componente Intel Graphics Driver negli ultimi anni ha interessato tutte le versioni di macOS.

Da tempo ha aggiunto che ci sono dozzine di altre vulnerabilità in Big Sur e Catalina che non vengono sfruttate attivamente.

“Apple ha una sfortunata storia di lasciare consapevolmente versioni ‘supportate’ di macOS non protette da alcuni attacchi in natura sfruttati attivamente”, ha affermato. “Questo tipo di scenario in cui un fornitore sceglie di non rilasciare una patch viene talvolta definito “giorno zero perpetuo”.” ®

Add Comment