Ultimo aggiornamento: 2021/04/01 13:45.
Apple ha rilasciato la versione 14.4.2 di iOS e iPadOS per correggere una falla che viene già sfruttata concretamente dai criminali informatici: un problema di universal cross-site scripting. In altre parole, un guaio grosso.
L’azienda ha rilasciato un aggiornamento correttivo per la stessa falla anche per iOS 12.5.2, ossia per i vecchi iPhone 5s, 6 e 6 Plus e sui vecchi iPad. Il problema tocca anche gli Apple Watch, che vanno portati alla versione 7.3.3 di watchOS.
La falla è stata classificata con il riferimento CVE-2021-1879.
Il cross-site scripting (XSS) è un tipo di vulnerabilità nel quale un sito può intercettare e manipolare il contenuto di un altro sito se entrambi sono aperti contemporaneamente sul dispositivo della vittima. Per esempio, se state visitando un negozio online, avete trovato un prodotto che vi interessa e nel frattempo state cercando in Google lo stesso prodotto a un prezzo migliore, può capitare di finire in un sito di truffatori che usa il cross-site scripting per leggere o prendere il controllo della vostra attività nel negozio legittimo.
Normalmente un XSS richiede che la pagina legittima abbia dei difetti tecnici;
lo universal XSS, invece, agisce anche senza difetti nella pagina
legittima, per cui può colpire anche siti bancari e altri siti ad elevata
sicurezza. Il difetto, infatti, non sta nei siti, ma nel software del
dispositivo usato. Per questo viene considerato un guaio grosso e viene
corretto in fretta.
Fate quindi gli aggiornamenti appena possibile: Impostazioni - Generali - Aggiornamento software.
Nel frattempo, tenete presente un
trucchetto
che riduce il problema: visitate un solo sito per volta e riavviate
periodicamente il vostro dispositivo. La persistenza degli attacchi
informatici è infatti molto difficile da ottenere, per cui questo
comportamento è consigliabile sempre e dovrebbe far parte delle buone
abitudini di igiene informatica.
Fonte aggiuntiva:
Ars Technica,
Acunetix.
Nessun commento:
Posta un commento