Libero
SICUREZZA INFORMATICA

Apple Safari ha 2 pericolose vulnerabilità non ancora risolte

Due pericolose vulnerabilità di Safari mettono a rischio chi usa il browser di Apple e non sono state ancora risolte

safari Fonte foto: K303 / Shutterstock.com

Un team di ricercatori ha trovato due pericolose vulnerabilità nel browser Safari che ancora non sono state risolte da Apple. Le falle sono state scoperte durante la Tianfu Cup in Cina, un concorso di hacking dove esperti di sicurezza vincono premi per individuare bug e vulnerabilità sfruttabili dagli hacker.

Nel contesto del concorso, Apple ha chiesto ai partecipanti di individuare eventuali falle per il browser Safari in esecuzione su un MacBook Pro da 13 pollici e iPhone 11 Pro con sistema operativo aggiornato a iOS 14. Il team che ha scoperto gli exploit potenzialmente pericolosi per la sicurezza ha vinto un premio da 420.000 dollari e fornito a Apple le indicazioni per poter sviluppare delle patch di sicurezza e risolversi. Al momento, l’azienda di Cupertino sta lavorando per risolvere le due vulnerabilità che espongono i suoi utenti ad attacchi da parte di hacker malintenzionati.

Safari, le due vulnerabilità scoperte nel contest

I team che hanno preso parte al contest Tianfu Cup hanno analizzato la presenza di falle nella sicurezza del browser Safari di Apple, in particolare concentrandosi su un URL remoto che potesse consentire ad eventuali malintenzionati il controllo del browser o del dispositivo MacBook Pro con un attacco RCE, o Remote Code Execution, offrendo 40.000 dollari per chi ci fosse riuscito. Se oltre a un attacco RCE il team fosse riuscito a eseguire anche una fuga sandbox, il premio saliva a 60.000 dollari.

Per quanto riguarda l’analisi della sicurezza di Safari su iPhone 11 Pro con sistema operativo iOS 14, i team si sono sfidati nel cercare di attuare attacchi RCE aggirando la mitigazione PAC, con i seguenti premi in caso di successo: 120.000 dollari per un attacco RCE, 180.000 dollari aggiungendo una fuga sandbox e infine 300.000 dollari per un jailbreak da remoto.

Apple a lavoro sulle vulnerabilità da risolvere

Sono due le principali vulnerabilità messe in evidenza dal Tianfu Cup per Apple, ma i dettagli sul tipo di exploit non sono stati divulgati. Solo la società di Cupertino ha ricevuto informazioni dettagliate dai team di sicurezza sulla tipologia di falla da risolvere e ora gli sviluppatori stanno elaborando delle patch da rilasciare in un nuovo aggiornamento per eliminare il problema.