Apple, Google, Microsoft chiamate sempre più spesso a riparare le falle nei propri programmi
Il mese di luglio è appena terminato e, almeno per alcuni giganti americani del settore tech e software, non è stato affatto un mese facile. A livello di bug, errori di programmazione e vulnerabilità varie ci sono stati parecchi grattacapi in Microsoft e Google, ma anche in Apple e nelle principali aziende di software gestionali per l’impresa come SAP, Cisco e Oracle.
Un “mese nero”, dunque, trascorso più che sotto il segno del caldo e del sole, sotto quello dei numerosissimi aggiornamenti per piattaforma per rimediare alle numerosissime criticità. Entriamo nel merito e vediamo alcuni.
Apple
Apple si classifica tra le prime aziende (il record spetta a Microsoft) che hanno avuto un luglio tremendo per via della correzione di ben 39 bug tutti relativi alla sicurezza. Sebbene la stessa azienda di Cupertino non abbia riportato casi di attacchi ai propri device, i problemi riscontrati non sono certo cosa trascurabile: si parla, infatti, di una vulnerabilità che permetterebbe a qualsiasi app in esecuzione di rilasciare parti di codice che potrebbero intaccare il sistema operativo di tutto l’apparecchio.
Se poi gli attacchi non fossero isolati ma concatenati si potrebbe assistere al collasso multidevice. Per questo la compagnia invita ad eseguire quanto prima l’aggiornamento 15.6 su tutti i propri dispositivi portatili. Per inciso, sono stati corretti errori relativi anche a: IOMobileFrameBuffer, Audio, iCloud Photo Library, ImageIO, Apple Neural Engine, and GPU Drivers.
Google ha rilasciato un aggiornamento di emergenza per rimediare a quattro errori di programmazione relativi al browser Chrome. Uno di questi è stato rilevato dal team di Avast Threat Intelligence che ha notato come, in meno di un giorno dalla scoperta del difetto, questi fosse già stato utilizzato per attacchi hacker in Medio Oriente.
In parole povere, si tratta di una falla relativa alla corruzione della memoria che permetterebbe l’esecuzione di codici spia durante l’utilizzo quotidiano ad opera degli utenti. Nello specifico, la vulnerabilità sarebbe stata sfruttata per rilasciare lo spyware DevilsTongue nei devices di alcuni giornalisti in Libano.
Sulla base del tipo di malware e delle sue tattiche d’impiego, il team di Avast attribuisce l’utilizzo del bug in Chrome ad un’azienda israeliana che vende software spia ai governi.
Microsoft
Microsoft si laurea campionessa per numero di aggiornamenti riparativi rilasciati: sono nientemeno che 84. Anche ne caso dell’azienda di Seattle si tratta di falle sfruttate per attacchi nel mondo reale.
La criticità è relativa ad un accesso privilegiato al sistema operativo non adeguatamente programmato. Sono coinvolti Windows Client/Server Runtime Subsystem (CSRSS), i server e i client di tutte le piattaforme Windows, inclusi i più recenti Windows 11 e Windows Server 2022.
La permeabilità di quell’accesso privilegiato offre la possibilità di controllare i sistemi operativi dei device. Come spesso accade, gli aggiornamenti riparativi di Microsoft causano altri malfunzionamenti. È successo anche questa volta: dopo l’upgrade era impossibile aprire MS Access. Soluzione? Un nuovo aggiornamento.
Android
Sempre Google, sempre aggiornamenti. Questa volta per sistemare alcune componenti relative al suo sistema operativo per mobile: Android. Stando a quanto riportato, Android avrebbe sofferto di una vulnerabilità piuttosto critica che, in casi estremi, avrebbe portato al totale controllo da remoto di un dispositivo mobile senza bisogno alcuno di particolari autorizzazioni aggiuntive.
Google ha altresì sistemato problemi relativi al rilascio di informazioni e alla possibilità di ottenere accessi privilegiati. Parallelamente, sono stati rilasciati anche degli aggiornamenti di terze parti (MediaTek, Qualcomm, Unisoc) che forniscono di chip l’azienda di Mountain View. Al momento gli aggiornamenti sono disponibili per dispositivi Samsung e Pixel.
SAP
SAP ha rilasciato circa 27 aggiornamenti a luglio. Uno di questi serve per sistemare una vulnerabilità piuttosto grave: la possibilità di accedere al cruscotto della suite Business Objects. Senza bisogno di alcuna autorizzazione, infatti, un utente non autorizzato potrebbe sfruttare l’occasione per rubare informazioni direttamente dalla piattaforma.
Ora, sebbene non sia possibile agire fino a quando la piattaforma non è in uso tramite le legittime credenziali di qualche utente loggato, il pericolo da scongiurare nell’immediato prima che si verifichino attacchi nel mondo reale.
Oracle
Lato software, la campionissima degli aggiornamenti è Oracle: 349 in totale, 230 circa dei quali per scongiurare il pericolo di controllo e gestione da remoto delle piattaforme. Un primo corposo pacchetto di aggiornamenti (520) era stato rilasciato da Oracle ad aprile per impedire al codice di gestione da remoto noto come Spring4Shell di corrompere l’operatività delle suite.
Secondo Tenable, un’azienda specializzata in sicurezza informatica, la famiglia di prodotti Oracle nota come Financial Services Applications richiede il numero più alto di aggiornamenti (pari al 59,17%), mentre la suite Oracle Communications si classifica seconda (16%). Per queste ragioni, la compagnia di Austin raccomanda ai propri clienti di eseguire tutti gli upgrade richiesti dai sistemi quanto prima.
Cisco
Ultima, ma non certo per importanza (la criticità degli errori di programmazione viene valutata 9.8/10), è la software company di San José, Cisco. Nel caso in questione la vulnerabilità intrinseca del software è legata alla dashboard della suite Nexus: il problema riguarda la possibilità per un utente non autorizzato di eseguire alcune operazioni all’interno del programma, dall’esecuzione di comandi arbitrari a veri e propri attacchi cross-site, passando per l’acquisizione di immagini.
Insomma, grandi compagnie e grandissime falle: non aggiornare è dannoso per gli utenti, non sistemare è pericoloso per le aziende stesse. Come si suol dire, più sono grandi e più fanno rumore quando cadono.
